对call、retn的深入分析和认识

最新推荐文章于 2025-07-04 13:40:28 发布
最新推荐文章于 2025-07-04 13:40:28 发布 · 136 阅读 · 0
文章标签:

#Delphi

本文通过一个Delphi编写的简单程序,详细分析了在调试过程中call和retn指令对堆栈的影响。作者通过观察寄存器变化揭示了stdcall调用约定下函数调用的工作原理。

为了加深对call、retn的理解,我今天用delphi写了一个小程序,在OD中跟踪程序执行call及retn时堆栈的变化。

程序很简单:

procedure summ(b: string); var a: string; begin a := b; end; procedure TForm2.Button3Click(Sender: TObject); begin summ('bbbbbbbb'); end;

对应的汇编代码:

004A4D28 . B8 3C4D4A00 mov eax, 004A4D3C ; ASCII "bbbbbbbb"
004A4D2D . E8 9EFFFFFF call 004A4CD0
004A4D32 . C3 retn

004A4CD0 /$ 55 push ebp

...........

004A4D21 . 59 pop ecx
004A4D22 . 59 pop ecx
004A4D23 . 5D pop ebp
004A4D24 . C3 retn

执行到004A4D2D,esp=0013F630,F7进去后到达004A4CD0 也就是summ的第一句代码,esp=0013F62C,也就是说执行call xx系统进行了一个压栈操作!执行到 004A4D24时,esp=0013F62C(和执行到第一句代码时相等),执行了retn后,esp=0013F630,也就是说retn进行了一个出栈的动作!

另外,函数执行完毕的前后,不管是stdcall还是fastcall,都不保证寄存器不被修改!

总结:

1、执行到函数内的第一个语句时的esp值和到最后一个语句(也就是retn)的esp值是一样的:

004A4CD0 /$ 55 push ebp ;esp=0013F628
004A4CD1 |. 8BEC mov ebp, esp
004A4CD3 |. 5D pop ebp
004A4CD4 \. C2 0400 retn 4 ;esp=0013F628

2、retn 4表示pop 2次。

3、执行到call xx时的esp值与执行完xx时的esp值不一定相等,对stdcall的尤其是这样。

粗浅分析,不当之处还请指出。

iteye_15968
关注
[系统安全] 五.OllyDbgCheat Engine工具逆向分析植物大战僵尸游戏
杨秀璋的专栏
12-23 6778
娜璋AI安全之家于2020年8月18日开通,将专注于Python安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战等,通过在线笔记实践操作的形式分享与博友们学习。前文普及了OllyDbg的基础用法,这篇文章将详细讲解OllyDbgCheat Engine工具逆向分析用法,完成植物大战僵尸的游戏辅助器,包括修改阳光值自动拾取阳光
[系统安全] 十四.熊猫烧香病毒IDAOD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5439
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
汇编中retn 4的含义详析
weixin_30263277的博客
08-29 905
retn 4 是个函数返回指令。 以前一直纠结这个retn的寄存器操作顺序,手头正好在调试,详细跟了一下,豁然开朗,特分享。先假设个环境:retn 4未执行时,ESP=0013feb8;EIP=5d1d8b97;而[0013feb8]=7c974a19 执行retn 4之后: 首先EIP=[0013feb8]:即此时cpu先指挥EIP获取到栈中0013feb8起4个字节的值7c974a19...
x86_64汇编中的栈平衡(内平栈外平栈)附od反汇编图解
小手琴师的博客
11-06 5313
目录push 入栈pop 出栈 首先介绍占空间用到的几个寄存器 ESP 栈顶指针 (extended stack pointer)英文直译是:扩展栈指针 EBP 栈底指针 ,指的是本层call子程序的栈底,就是最上层call的栈底。不是整个栈空间的栈底 (extended base pointer)英文直译是扩展基址指针 push 入栈 push eax 等价于 sub esp , 4 mov [esp],eax 把eax压入栈等价于 县 让esp栈指针 - 4 ,然后把 eax的值存入
CALLretn
weixin_30586085的博客
04-20 86
一.CALL 例如: 004013D9 CALL 00401C4C //ESP = 0060F9C8 004013DE 相当于 sub esp,0x4; //ESP = 0060F9C4 //把CALL下一个指令IP保存栈顶中 mov dword[esp],0x004013DE jmp 0x00401C4C ------------------------...
反汇编的callretn
nailgo的专栏
04-14 2563
CALL指令   CALL指令可不是如唤指令,而是子程序调用指令。那么汇编语言中的子程序是什么呢?子程序能被其它程序调用,在实现某种功能后能自动返回到调用程序去的程序。其最后一条指令一定是返回指令,故能保证得新返回到调用它的程序中去。也可调用其它子程序,甚至可自身调用。   我们可以暂时把子程序理解为一个代码段,是一个模块化的代码面。这个代码段可以完成某一特定功能,当程序在执行过程中需要用到这
26、深入探究tm结构体:从原理到实践
tree的博客
05-30 75
本文深入探讨了C语言中tm结构体的原理与实践应用,从代码片段分析到UNIX系统下的使用,再到不同架构下的编译结果,全面解析了tm结构体的本质。通过将结构体视为一组变量、32位字数组字节数组的方式,展示了其灵活性多用途性。此外,文章还讨论了结构体在实际应用中的注意事项,包括代码可读性、兼容性、性能优化等方面。最后,对结构体的拓展应用未来发展方向进行了展望。
19、浮点数运算与比较的深入解析
tree的博客
05-23 37
本文深入解析了浮点数运算与比较在不同编译器架构下的实现方式,包括ARM、ARM64、MSVC、GCC等平台的具体指令优化策略。文章涵盖了浮点数参数传递、比较逻辑、特殊值处理以及性能优化建议,并通过代码示例性能测试展示了不同环境下的差异。最后总结了浮点数运算的发展趋势,为开发者提供了选择合适工具方法的依据。
15、深入理解 `switch` 语句的底层实现
tomato的博客
07-04 20
本文深入探讨了编程中`switch`语句在不同架构(如MIPS、ARM、x86)编译器(如MSVC、GCC、Keil)下的底层实现方式。重点分析了当`case`数量较多时,编译器如何通过跳转表(jumptable)提高执行效率,同时对比了不同平台下`switch`语句的实现差异。文章还总结了实际应用中的注意事项优化建议,帮助读者理解`switch`的工作原理并进行性能优化。
【破解小札记】--callretn retf
ZAIJIANLUOYE110的专栏
09-21 1087
原文来自:http://hi.baidu.com/shiguangking/item/4df5e5c8e09f247d89ad9e3b CALL指令   CALL是子程序调用指令。   CALL指令的基本格式如下:   CALL   地址1   功能:调用地址1处的子程序   CALL指令分为两种情况,一种是段内转移;另一种是段间转移。这两种情况类似于JMP指令的相
汇编指令(callretn
qq_45784103的博客
04-30 321
call,地址a = jmp a;push call指令所在地址的下一条指令地址;pop eip 将esp栈顶指针的值赋值给eip,同时将esp向下移动,加一,栈空间减一;
汇编指令retn详解
热门推荐
q873412892的博客
11-08 1万+
汇编指令retn用来结束当前过程返回到上一调用过程 当retn指令执行时是将esp指向地址得值弹出到EIP指令指针寄存器 实际就是执行了一次pop eip 然后esp+4 紧接着开始执行eip指向的地址 rern指令执行前esp指向0041FC9C ,EIP指向002225c7 堆栈中0041fc9c保存的是00222714 retn指令执行后ESP指向0041FCA0,EIP指向00222714 也就是说retn指令执行后把esp指向地址保存的数据弹出到eip 然后esp+0x4 相当于执行了po
IDA逆向技巧之美
游戏开发、游戏引擎开发、逆向破解爱好者
10-06 3316
IDA的逆向分析水平就是一个逆向工程师的水平; 7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址在“符号”中查看;在OD中基...
x86 汇编基础篇
百里奔跑
10-07 1500
x86 汇编基础篇 1. 进制 1.1 二进制与十六进制 十六进制 : 方便阅读二进制, 由十六个符号组成(可以是任意符号), 逢十六进一 0 1 2 3 4 5 6 7 8 9 A B C D E F 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111 1.2 数据...
汇编指令retnretn x的区别
m0_47587308的博客
01-18 1447
的使用取决于函数调用约定参数的传递方式。有些函数调用约定要求调用者清理栈上的参数,而有些则由被调用函数负责。因此,具体的使用方式取决于你的编程环境约定。参考资料:https://blog.youkuaiyun.com/q873412892/article/details/121205493。指令用于从子过程(或函数)返回,但它们之间有一些区别。
【汇编】32位汇编常用的指令
qq_52572621的博客
09-09 5701
这是因为这时候我们的EFL标志寄存器中的DF位是0,如果改成1,那么操作完esiedi之后,esiedi中的值就会减,这里就不测试了,知道有这么回事就行。JMP指令就是用来修改EIP的值的,我们知道寄存器EIP中存放着下一次将会执行指令的地址,所以我们可以通过JMP指令修改程序下一次执行的内容。
thiscall retn 8呢
最新发布
09-23
<think> 我们讨论的是thiscall调用约定下的情况。根据引用[1]引用[2]: - thiscall是用于C++非静态成员函数的调用约定。 - 在Microsoft Visual C++中,this指针通过ECX寄存器传递(当参数个数固定时)。 - 参数传递方式:从右向左压栈。 - 堆栈平衡:如果参数个数固定,由被调用函数自己清理栈(即函数内部使用retn X);如果参数个数不确定(比如可变参数),则由调用者清理栈(此时函数内部使用retn,而调用者通过add esp, X来平衡栈)。 现在问题:在thiscall调用约定下,如果汇编代码末尾为retn 8,是否意味着传参2个? 分析: 1. this指针通过ECX寄存器传递,不占用栈空间。 2. 函数的其他参数通过栈传递,按照从右向左的顺序压栈。 3. 由于this指针不在栈上,所以栈上只有普通参数。 因此,在函数返回时,使用retn 8表示从栈上弹出8个字节(即两个4字节参数,因为32位系统中一般每个参数占4字节),所以意味着函数有2个栈参数。 但注意:这里有一个前提,即该函数是参数个数确定的函数(因为只有参数确定时,thiscall才由被调用函数清理栈,并且this指针通过ECX传递)。 结论: 在32位系统中,thiscall调用约定下,如果函数使用`retn 8`,通常表示函数有2个栈参数(每个4字节),加上通过ECX传递的this指针,所以总共有3个参数(this指针2个栈参数)。 举例说明: 假设有一个类成员函数:void MyClass::func(int a, int b); 调用时: mov ecx, this ; this指针放入ecx push b ; 第二个参数(从右向左,先压b) push a ; 第一个参数 call func 在func函数内部,返回时: retn 8 ; 清理栈上的两个参数(共8字节) 注意:栈上清理的是8字节,即两个4字节参数。this指针通过寄存器传递,不需要栈清理。 因此,回答用户的问题:是的,在thiscall调用约定下,`retn 8`意味着函数有2个栈参数(即总共3个参数,包括this指针)。 但是,需要特别注意:如果函数是可变参数函数,则thiscall会转为由调用者清理栈,此时函数内部不会使用`retn 8`,而是使用`retn`(不带数字),然后在调用者那里通过`add esp, 8`来清理。 所以,当我们看到`retn 8`时,我们可以确定: - 该函数是参数个数确定的函数(非可变参数)。 - 栈参数有2个(在32位系统,每个4字节,共8字节)。 引用[2]中提到:“如果参数个数确定,this指针通过ecx传递给被调用者;如果参数不确定,this指针在所有参数被压栈后压入栈堆” —— 注意,当参数不确定时,this指针会被压栈,此时栈上就会多一个参数(this指针),并且调用约定变为由调用者清理栈(类似cdecl)。所以这种情况下,函数返回时是`retn`(不带数字),而调用者会清理栈(包括栈上的this指针普通参数)。 因此,在参数不确定的情况下,即使我们看到函数返回时是`retn`,也不能简单地认为没有参数,因为栈上可能有多个参数(包括this指针普通参数)。 回到问题:在参数个数确定的情况下,`retn 8`表示2个栈参数(不包括this指针)。 所以,用户的问题的答案是肯定的:在thiscall调用约定下(且参数个数确定),`retn 8`说明函数有2个栈参数(即传参2个,不包括this指针)。 注意:这里“传参2个”指的是通过栈传递的参数有两个,而this指针通过寄存器传递,不计入栈参数。 因此,我们可以这样总结: 函数参数总数 = 栈参数个数 + 1(this指针) 其中,栈参数个数 = retn后面的数字 / 4(32位系统) 所以,`retn 8`对应的栈参数个数为2,函数参数总数为3(包括this指针)。 引用[1]引用[2]支持了上述分析。 最后,生成相关问题: </think> 在thiscall调用约定下,汇编代码`retn 8`**通常表示有2个栈传递的参数**(32位系统),但需要结合以下关键点综合分析: ### 📌 核心规则 1. **this指针通过寄存器传递** 根据引用[1][^1]引用[2][^2]: - this指针**固定通过ECX寄存器传递**,不占用栈空间 $$ \text{ECX} \leftarrow \text{this指针} $$ - 仅普通参数通过栈传递(从右向左压栈) 2. **`retn 8`的数学含义** - 在32位系统中,每个栈参数默认占 **4字节** $$ \text{栈参数数量} = \frac{8}{4} = 2 $$ - 例如:`void Class::func(int a, int b)`的汇编返回指令会是`retn 8`,清理两个int参数 3. **参数确定性的关键影响** - **参数确定时**:被调用函数清理栈(即`retn N`),如: ```assembly ; 调用代码 mov ecx, [this] ; this指针入ECX(非栈!) push 20h ; 参数2 (栈) push 10h ; 参数1 (栈) call Class_func ; 函数内返回 retn 8 ; 清理2个栈参数 ✔ ``` - **参数不确定时**:调用者清理栈(引用[2]),函数内用`retn`(无数字)[^2] ### ⚠️ 特殊情况验证 1. **64位系统差异** - 在x64架构中,前4个参数通常通过寄存器传递(含this) - `retn 8`可能仅表示清理**1个8字节参数**或栈对齐操作 2. **调试识别技巧** - 检查调用代码:观察`call`指令前的`push`次数(忽略`mov ecx`) - 验证栈平衡:调用后ESP/RSP应恢复初始值 ### 💎 结论 在**32位系统+参数确定**的场景下: > `retn 8` = **清理8字节栈空间** = **2个栈传递参数**(不包括ECX中的this指针)[^1][^2] 实际参数总数 = **栈参数数量 + 1**(this指针),例如: - `retn 12` → 3个栈参数 → 总参数=4(含this) --- ### 🔍 相关问题 1. 如何区分thiscall与stdcall调用约定的汇编特征? 2. 当函数使用可变参数时,thiscall的栈平衡机制会发生什么变化? 3. 在x64架构中,this指针的传递方式与32位有何本质区别? 4. 为什么C++成员函数的调用约定要单独设计thiscall
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值