JMP CALL RET

一.JMP指令（修改EIP的值）（第一个修改EIP的指令）

三种方法 ：JMP 立即数

　　　　　JMP  寄存器

　　　　　JMP  内存

EIP 之前介绍过，EIP存放的值就是cpu下一次要执行的地址

1.之前学过要修改一个通用寄存器的值，mov指令就可以完成，但是mov这个指令时不允许修改EIP寄存器的

所以可以使用JMP 1（本质的作用效果其实和mov eip ，1一样）

例子1：将EIP修改为004183F4，程序也会跳到004183F4执行

例子2：后面跟寄存器

例子3 ：后面跟内存（注意 跟内存的时候只能使用dword，因为其本质是修改EIP里面的值 但是EIP是32位的 ，所以只能用dword）

二.call指令（也是修改EIP的指令）（相对来说比JMP复杂一些）

call指令做了哪些事？

（之前要想让代码一行行执行 按F8   但是编写call指令的时候，执行得按F7）

比如

第一件事就是就是修改了EIP，把call后面的值放到EIP中

第二件事情 他会把当前指令的下一行地址 存到了堆栈中

所以call

总结一下 call和jmp唯一的区别就是call会把下一行指令放到堆栈中（相应的ESP的值也会改变）

三.RET指令

RET指令做的事情就是

例子 ：执行之前（观察红圈的三个地方）还有堆栈里面的值

             堆栈里面的值  

F8执行之后

所以由变化可以看出ret做的事情

第一件事情：把当前栈顶的值放入EIP 里，响应的cpu也就跳到EIP里指定的地址

第二件事情就是栈顶指针+4，也即是ESP+4。

四，拓展（反调试之Fake  F8）

目的就是让F8失效 ，反调试 让别人不太容易看懂

4.1    F7和F8

F7和F8都是使程序单行执行 唯一出现区别的时候就是执行call指令的时候，一个call里面可能由很多条指令，F7会去把call指令做的事情一步步做，但是F8则把call指令包括里面的程序一下子全执行完 ，紧接着下面设置断点，不执行了。

断点：程序停止的地方 也可以自己设置断点F2，那么程序走到你设置的位置也就会停下来.

之后是如何将f8废掉的，还是视频表达的更加清楚https://www.bilibili.com/video/av67934684?p=20

总结一下，call指令在执行的时候会把程序下一步 的地址放在堆栈的栈顶的值当中，然后ret会把栈顶的值（也就是下一步程序进行的地址）放回到EIP 让cpu执行完call，接着执行下一条。所以破解人员想追踪程序的运行，会在call指令执行之后再执行一个ret，这样程序就回到正常程序call完成之后的下一步，程序也就是一步步的进行 。（一个ret会让 破解人员知道程序下一步在哪执行）

反调试也就是将call执行完之后 ，用mov指令修改ESP地址里面的值之后 ，这样栈顶的值也就是被修改，然后如果破解的人写一个ret，那么就会返回一个错误的 下一步地址 给EIP 导致破解人员不知道程序下一步到底在哪。