汇编入门

发一个以前收集的简单的汇编资料，看下，巩固基础
------------------------------------------------------------------------------------------------------------------------------------------
push    ebp                    /这两句通常作为一个函数（子程序）
mov     ebp, esp             /的开始标志
。。。
。。。。
mov  eax,dword ptr ss:[ebp+8]   ；子程序（函数）把要处理的数据（参数）送入eax
                        有多少个mov xxx,dword ptr [ebp+x]就有多少个参数                                                
----------------------------------------------------------------------
PUSHAD                        （压栈）代表程序的入口点,
POPA                （出栈）代表程序的出口点，与PUSHAD相对应，一般找到这个，OEP就在附近
-----------------------------------------------------------------
sub     esp, 10               ;  腾出16个字节的栈空间

add     esp,10                ;清栈
------------------------------------------------------------------
mov    eax, [xx]       /
mov    edx, [xx]        /
call     00x????          /    比较语句   
test    eax, eax         /
jz(jnz)00x??????     /
-----------------------------------------------------------------------
mov    eax, [xx]       /
mov    edx, [xx]        /   
cmp    eax, edx         /
jz(jnz)00x??????     /
--------------------------------------------------------------------------
mov    eax, [xx]       /
mov    edx, [xx]        /
call     00x????          /   
jz(jnz)00x??????     /
-------------------------------------------------------------------------
一个for循环的反汇编结构如下：一个明显的标志就是往回跳！

  mov  <循环变量>，<初值>
  jmp  检查循环条件B
A:  (修改循环变量)
  ...
  ...

B:  cmp  <循环变量>，<限制条件>
  jge  跳出循环
  (循环体)
  ...
  ...
    jmp  修改循环变量A
--------------------------------------------------------------------------
test ecx, ecx  ;用于测试寄存器是否为空（等于0），此处如果ecx为零,设置ZF零标志位为1,Jz跳转
jz xxxxx
---------------------------------------------------------------------------
lea eax,[00104031]   ; [] 用法的唯一特例，等价于:eax=00104031
----------------------------------------------------------------------------
         （注）是否真有下诉定理存在，本菜鸟不打包票！但它们绝对是规律性的东西，值得为它们定个理
（定理一）：EAX定理------所有函数（子程序）都默认以‘EAX’存储返回值！
（定理二）：ESP定理------堆栈指针ESP在函数（子程序CALL）调用后，必定恢复原来的值！
（定理三）：EBP定理------所有子程序都使用[EBP+XX]或[EBP-XX]来传递参数！
（定理四）：ESI定理------几乎所有有关用户名与密码的操作都使用变址寄存器ESI来获得！
（定理五）：PUSH定理----所有（子程序）CALL之前靠近的入栈PUSH动作都是为CALL提供参数！（见PUSH定理详解）
--------------------------------------------------------------------------
（ESP定理详解----------转自百度知道，我稍改动）
什么是esp?
它是堆栈栈顶指针寄存器(stack pointer)-----始终自动保存（指向）当前堆栈的栈顶（地址）。

什么是堆栈?
就是把数据象堆砖头一样，一块一块的往上面堆，所以取砖头时候就只能从上往下取（否则就会墙到砸人！*_*）后进先出(最后放上去的砖头最先取出来)这种数据结构就叫堆栈（作为程序参数的临时存储区，堆栈的这种存取方式有效地利用了有限的内存空间）

什么是寄存器
它是固化在cpu里面的几个内存单元，但运算速度比普通内存条上的内存单元要快很多，cpu能直接对寄存器进行操做。我们可以把寄存器看成c语言里系统定义的‘几个’变量，数据啊字符串啊什么的都能存放在这里面 。

什么是call
call就是调用一个子程序（电视剧里长说：“有事你‘call’我”，与此有异曲同工之妙！-------记住！有‘事’才会‘call’它）
比如

00040414 mov ax，word ptr [45847]

00040418 mov bx， .....

00040420 call 0042587

00040422 .....

在程序执行call之前 他需要保存call命令‘下面的’主程序（或调用者）的地址00040422 ，那么把它保存在哪呢？因为等下还要用到它，而且它是最后保存的，一执行完call后就要调用00040422这个地址，所以保存在堆栈里最好了（后进先出的特点）
关键：无论在call里面使用了多少次‘入栈、出栈’最后call调用完，00040422这个数据就出栈了，
堆栈指针自动指向原堆栈中00040422下面那个数据。
因此堆栈指针的位置在调用前后没有发生改变。
这就是有名的堆栈平衡(堆栈指针在执行一系列子程序后所指向位置不变)
--------------------------------------------------------------------------------------------
（PUSH定理详解 ）
00401333  |.  4E 6F 77 20 7>ascii   "Now write a keyg"
00401343  |.  65 6E 20 61 6>ascii   "en and tut and y"
00401353  |.  6F 75 27 72 6>ascii   "ou're done.",0
0040135F  |>  6A 00              push    0                            /
00401366  |.  68 33134000   push    00401333                 |----->这3个PUSH都为子程序MessageBoxA提供参数
0040136B  |.  FF75 08           push    dword ptr [ebp+8] /
0040136E  |.  E8 19010000   call    <jmp.&USER32.MessageBoxA>