第七楼之风雨

变址寄存器   顾名思义，变址的含义是内存地址会变动的，也就是说变址寄存器中存放在变动的内存地址。80386架构中有两个变址寄存器，分别是ESI和EDI。ESI和EDI寄存器：（1）ESI：ESI称为源变址寄存器，通常存放要处理的数据的内存地址。（2）EDI：EDI称为目的变址寄存器，通常存放处理后的数据的内存地址。ESI和EDI寄存器的用途  ESI和EDI常用来

（1） 立即寻址示例：Mov eax,56H作用：通常用于赋值。（2） 直接寻址示例：Mov eax,[12558878H]作用：通常用于处理变量。（3） 寄存器寻址示例Mov eax,[edi]作用：地址在寄存器中。（4）寄存器相对寻址示例Mov EAX,[EDI+32H]作用：常用于访问数组和结构。

指针寄存器80386的指针寄存器有基址寄存器EBP，堆栈指针寄存器ESP和指令指针寄存器EIP。只需要了解基址寄存器EBP和堆栈指针寄存器ESP即可，指令指针寄存器EIP总是指向下一条要执行的指令的地址，一般情况下无需修改EIP。EBP和ESP寄存器(1)EBP：EBP称为基址寄存器，可作为通用寄存器用于存放操作数，常用来代替堆栈指针访问堆栈中的数据。(2)ESP：ESP称

标志寄存器EFLAGS一共有32位，在这32位中大部分是保留和给编写操作系统的人用的，一般情况下只需知道32位的低16位中的8位即可，图1-3列出了标志寄存器EFLAGS中需要了解的8个位的位置。* OF（Overflow Flag）:溢出标志，溢出时为1，否则置0。* DF （Direction Flag）:方向标志，在串处理指令中控制信息的方向。* IF (Interrupt Fl

一般高级语言中的数据结构和寻址方式有一定的关系，熟悉这些关系对逆向分析反汇编指令有很大的帮助。表1-1所示为高级语言中的数据结构和80386寻址方式的关系。

80386指令   观察一下Intel 的80x86 CPU文档手册会发现，Intel的80x86 CPU支持几百条指令，如此多的指令莫说深入研究，连入门恐怕也非易事。   幸运的是，在这几百条的指令中，常用的也不过几十条而已，Intel 的80x86 CPU之所以支持几百条指令，原因在于Intel 的80x86 CPU为了保持向下兼容的问题，所以从过去到现在的所有指令都包含在CPU里面，

80386的数据传送指令是为了实现CPU和内存、输入/输出端口之间的数据传送。(1)MOV:称为数值传送指令，格式是“MOV DST,SRC”。(2)MOV指令将源操作数SRC传送到目的操作数DST中。(3)传送的数据格式可以是8字节、16字节和32字节。 示例代码：MOV EAX,56 //将56H立即数传送到EAX寄存器MOV ESI,D