汇编指令之JMP,CALL,RET（修改EIP的值！！！）

　　简单介绍了，JMP指令按市面上的意思来说是跳转到指定地址，但我这里不这么说，JMP, CALL, RET三个指令均为修改EIP值的指令，EAX, ECX, EBX, EDX, ESP, EBP, ESI, EDI，这8个寄存器的值均可以用mov指令来修改里面的值，EIP行不行呢？我们实际测试一下。

版权声明：本文为博主原创文章，转载请附上原文出处链接和本声明。2019-09-06，20:23:27。
作者By-----溺心与沉浮----博客园

一、JMP指令

我们发现，指令违法，说明，EIP的值不允许通过MOV指令来修改， 但是可以通过什么办法来修改呢？就是我们的标题咯，就是这三条指令，到这里，相信你明白我为什么会说JMP, CALL, RET指令是用来修改EIP的值了吧，如果不明白，请接着看我下面的演示。

我们在0x4010000输入如下代码：

 JMP 0x401052

在0x401052处输入如下代码：

 JMP 0x401007

我们这两行代码输入进去，OD会自动帮我们转化成图中左边两个框中的代码，具体为什么要这样，我们这里先不做解释

JMP指令的作用就是无条件的修改EIP的值，我为什么不说是“跳转”，我们熟悉的词语呢？因为决定程序往哪跳转，这不是JMP做的，它所做的就是无条件去修改EIP的值，我们可以去理解成“MOV EIP, 0x00401052”, "MOV EIP, 0x401007", JMP将EIP的值修改完成过后，CPU会根据EIP里面的值决定程序往哪跳转，这件事是CPU决定的。我喜欢“庖丁解牛”，因为只有了解到了本质，我才觉得我是在学东西，就是push，pop，很多人也只是知道是压栈，出栈，知道了这个有什么用呢？只是知道怎么去用而已，万一如果出现

 MOV DWORD PTR DS:[ESP-],ESP
 SUB ESP,

版权声明：本文为博主原创文章，转载请附上原文出处链接和本声明。2019-09-06，20:23:27。
作者By-----溺心与沉浮----博客园

我们还能做到认识push吗？我相信只有“庖丁解牛”，长期这样去认知高级指令，经过一定时间积累，我们看到变形的指令时，我们也能一眼认出它，

我们执行上面OD中写入的两行JMP指令，看看寄存器有哪些变化，为了方便观察，我这里已经将EAX, ECX, EDX, EBX, ESI, EDI的值分别修改成了0x1,0x2,0x3,0x4,0x5,0x6，ESP, EBP不要动！这两个代表这栈顶与栈底。

经过观察，我们发现只有EIP的值发生了改变，其他的寄存器并无发生变化，再执行第二条JMP指令

JMP指令执行完过后，可以发现它除了EIP寄存器外，它不影响任何寄存器的值，也不影响EFLAG的值

二、CALL指令

　　CALL指令，首先将程序运行的下一地址压入堆栈，并修改EIP的值，我们看如下例子，首先我们将EAX, ECX, EDX, EBX, ESI, EDI的值分别修改成了0x1,0x2,0x3,0x4,0x5,0x6，ESP, EBP不要动！然后输入下面指令

 CALL 0040101C

执行CALL 0x40101C

CALL指令发生跳转的时候，下一行地址，也就是要回来的地址，并不是在它原有的基础上+4，而是看它旁边有几个字节

如果是第一个红框中所标，那就是2个字节，如果是第二个红框所标，那他就是5个字节，这里涉及到硬编码，大家就先知道是个什么回事就行

根据图中变化所示，我们可以清晰的看到，执行CALL 0x40101C指令时，0x401000下一行地址0x401005被压入栈中，ESP的值减4，原先ESP的值是0x0018FF8C，EIP的值也变成了0x0040101C

三、RET指令

　　RET指令会将ESP的值POP出来，然后修改掉EIP的值

紧接上图，我们执行0x40101C处的RET指令，仔细观察ESP，EIP的值，并观察ESP所代表的的内存编号的值得变化

版权声明：本文为博主原创文章，转载请附上原文出处链接和本声明。2019-09-06，20:23:27。
作者By-----溺心与沉浮----博客园