hao对《琢石成器》的笔记(30)

这本书也是很早就读了。 = =！ 我不用win32 ASM ，就当是《windows核心编程》的汇编版，虽然《windows核心编程》讲得更细，更广，但是这两本书我认为各有各的优点吧。至少我第一次学习逆向有收获的是看这本书。很多小知识也是。 放上来主要是为了让我的读书笔记不空洞，算是记录自己的人生学习经历了。等书丢失了，回来也可以找笔记看关键点（靠近本质的）。 1.80x86处理器的工作模式

1.1实模式

1.2保护模式

1.3虚拟86模式

2.windows内存管理

GDTR，LDTR GDT,LDT 和selector的关系

3.分页机制

分页机制有我笔记，改天我贴上来。

内存地址转换表

4.windows的内存安排

windows的内存安排

其实直接用RadASM就可以了。书上介绍太麻烦。不要makefile什么的了。

使用MASM，其实就是它的文法，下面我归纳总结一下： Win32汇编，程序的基本构造跟DOS下差不太多。 下面是个Hello World的程序： .386 .model flat, stdcall option casemap:none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>> ;include文件定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>> include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ;数据段 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> .data szCaption db 'A MessageBox !',0 szText db 'Hello ,World ! ',0 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ;代码段 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> .code start: invoke MessageBox, NULL, offset szText,\ offset szCaption, MB_OK invoke ExitProcess, NULL >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> end start .386是伪指令，用来告诉编译器在本程序中使用的指令集。在80386以及以上的处理器中，使用这句是必不可少的。（注意，这不是纯汇编，是MASM汇编，有文法的。） 如果后面带p（例如：.386p）就表示程序可以使用特权指令。如果我们要写VxD等驱动程序，就有可能用到类似指令。 .model用来定义程序的工作模式。但对于win32应用程序来说只有一种模式，就是flat（平坦模式），因为每个进程运行在独立的4GB内存空间中。 如果定义了平坦模式，MASM就自动为各种段寄存器做了如下定义： ASSUME cs：flat, ds:flat, ss:flat, es:flat, fs:error, gs:error 指令格式： .model 内存模式 [, 语言模式] [,其他模式] win32汇编中有各种段， .code, .const, .data .data? 与DOS不同，它没有堆栈段，因为系统会为程序分配一个向低址扩展的段作为堆栈段。这些段绝对不是DOS汇编中那种意义的段，而是内存的“分段”。所有的“分段”合起来，包括系统所使用的地址空间，组成了4GB空间。4GB空间被分页机制管理，每页4KB，每页都有自己的属性，“分段”的概念实际上就是把不同类型的数据或代码归类，再放到不同属性的内存页。必须注意与DOS汇编中“段”的不同含义。 数据段： .data .data?和.const 的数据，分别把数据放在PE文件不同的节区（section）（详细参考PE文件结构）。 .data可读可写。已经初始化，放在PE文件的_DATA节区，类似与C中static变量和全局变量，会增大PE文件大小。（.exe文件）。 .data？可读可写。未定义。存放在_BBS节区。编译出来不会增加PE文件大小。编译器只为它保留大小信息，不会浪费磁盘空间。 代码段： .code 所有指令必须写在代码段中，存放在PE文件的_TEXT节区。.code段不可写。代码段的属性是由PE文件头部中的属性位决定的。可以修改。ring0程序直接有权利修改代码段。 程序的结束和入口： 在C语言中不必显式指定程序由哪里开始执行，编译器已经约定从main函数执行了。在汇编里，程序员可以指定从代码段的任何一个地方开始执行。 end [开始地址] 调用win32 API： DOS下调用（显式）系统功能是中断，而到了win32下则不是了（实际上在内核态下还是调用了int 2e，这个先不考虑），win32系统中的功能模块则是放在dll文件中的，dll文件也是PE文件结构。 kernel32.dll -----系统服务功能。包括内存管理，任务管理和动态链接 GDI32.dll-------图形设备接口。利用VGA与DRV之类的显示设备驱动程序完成显示文本等功能。 USER32.dll------用户接口服务。建立窗口和传送消息。 不同的dll提供不同的系统功能，所有的这些dll组成了win32编程环境。 调用API： 因为MASM为简化开发，用了invoke伪指令，来简化函数调用，实际上完成了push等参数入栈操作和平衡堆栈操作。 API的返回值一般放在eax中。只有dword一种类型。 字符串相关的API有W和A型的，MessageBoxW和MessageBoxA，前者处理Unicode，后者处理ANSI。Unicode占2bytes，ANSI占1bytes。所以为了让程序更有移植性，一般不显式指定W或者A。直接： if UNICODE MessageBox equ <MessageBoxW> else MessageBox equ <MessageBoxA> include [XX.inc] .inc为所有DLL函数生命列表，每个dll对应[dll名.inc]文件。 includelib 在win32汇编中，程序必须知道API在哪，否则必须搜索系统所有dll，并且无法处理不同dll中的同名函数，所以必须有个文件来包括dll库正确的定位信息，这就是lib文件（导入库）。DOS下的C语言函数库也是lib文件（称静态库），因为函数实现都存在lib中了。缺点就是每个可执行文件都包括了相同函数的代码，浪费磁盘空间，在执行的时候也浪费内存。

MASM定义全局和局部变量： 全局： 变量名 类型 初始值1，初始值2，... 变量名 类型 重复数量 dup （初始值1，初始值2，...） 局部： local 变量名[[重复数量]]：[类型] local @var:dword, @var2:word,@var3:byte

子程序定义方式： 子程序名 proc [距离] [语言类型] [可视区域] [USES 寄存器列表][,参数：类型]...[VARARG] local 局部变量列表 指令 子程序名 endp 分支语句： .if 条件表达式1 指令 [.else if 条件表达式2] 指令 ..... [.else ] 指令 .endif 循环语句： .while 条件测试表达式 指令 [.break [.if 退出条件]] [.continue] .endw 类似C中的wile（）｛｝ .reapt 指令 [.break [.if 退出条件]] [.continue] .until 条件测试表达式 类似C语言中的do{}wile() 代码组织： 1.使用频繁的部分把它们封装成黑匣子，尽量把全局变量设置成局部变量。 2.子程序规模尽量小。不应该太大，行数尽量在几百行以内。 3.尽量从以前的代码中拷贝相似的代码，把子程序封装成黑匣子，随着积累，开发程序是很快的。

1.模块和句柄

普通窗口和对话框的区别：

TIPS：内建消息循环就是windows干的事情，就是不是我们干的，