jmp:一个近跳转的问题

前天，复习汇编时，看到jmp的short跳转，跳转范围为[-128,127],马上我想到jmp的near跳转应该为[-32738,32767],并且我写了一个程序来测试这一想法，程序如下：

org    0100h
jmp    LABEL_START
[SECTION .code16]
[BITS 16]
LABEL_START:
    mov    ax,    cs
    mov    ds,    ax
    mov    es,    ax
    mov    ss,    ax
    mov    sp,    0100h
    mov    ax,    0b800h
    mov    gs,    ax        ;initial  segment  
    mov    di,    (80*12+12)*2
    mov    byte[gs:di],    'S'
    jmp    near LABEL_TEST
    times    65530 db    0
LABEL_TEST:
    add    di,    2
    mov    byte [gs:di],    'T'
     jmp    $

        这个跳转已经越界了，程序运行的结果（显示S）表明这一个结果，我又修改了times这条指令，将65530改为65000，重新编译运行，结果却出乎意料，打印了”ST“，十分不解。甚至以为是nasm的bug，昨天在csdn发了一个帖子，按回帖人的建议，我反汇编跟踪了几次。终于发现了问题的所在。修改前和修改后的jmp near LABEL_TEST反汇编代码分别如下，

0000001B  E9FAFF            jmp word 0x18

0000001B  E9E8FD            jmp word 0xfe06

可以看出第二次的目的地址的确为0xfe06，正确地址。jmp的near跳转范围到底是[-32768,32767]么？从上面反汇编代码可以看出端倪，0x1b+3+0xfffa=0x10018,但是ip为16位的，故高位的1会丢掉。但我们能说上面的结论错了么？若我们显示指定为32位的段，则使用的是eip,故上式的1不会丢掉。注意的是32位是运行在保护模式下，上面的程序不能简单修改[BITS  32],通过写一个运行在保护模式下的代码，发现其跳转范围还真不那么容易确定。

        这是在保护模式下的反汇编代码0001039E  E9F6FF            jmp word 0x397。对于代码如下：

jmp    near LABEL_DOWN
LABEL_TEST:
    nop    
    mov    byte [gs:(80*12+2)*2],'Y'
    jmp    $
    times    65530 db    0
LABEL_DOWN:
    jmp    near LABEL_TEST

可以看出我们跳转到标识符LABEL_TEST是成功的。这样就发现我们跳转的范围不那么简单，或者没有一个定值，下一条指令的ip=ip当前值+3+16位的偏移这个表达式。虽然16位的偏移是无符号数，但存在越界问题。分析00001039Eh+FFFF FFF6h+3=0000 10397h,:-)，按道理这样子eip=0000 10397,但是注意jmp near这条指令只有3个字节，而这个偏移值的用两个字节表示，所以这里成了jmp word 0x397,而eip=0x397,利用这一点我们的跳转范围实现了65530个字节的跳转。不过，别高兴的太早，这里是利用了这一点与编译器相关的特点，我们不能说jmp near跳转可以实现[-65536,65535]这个范围，总结一下，jmp near 跳转，nasm编译器的做法是只要地址在0-65535这个范围都能正确跳转，原因应该是jmp near 用一个word来表示跳转地址。