MASM x86 , ret returns 到一个错误的地址
MASM x86 , ret returns to a wrong address
我有一个汇编代码,可以将 COM 文件加载到内存并 运行s 它。 COM 文件将加载到一个单独的数据段,将 DS 和 SS 更改为该段并将其调用到 运行 COM 文件。
我的数据和堆栈段是:
STACKSEG SEGMENT STACK 'stack'
DW 512 DUP(?)
STACKSEG ENDS
DATASEG1 SEGMENT PARA 'data'
stacksp dw 0
stackbp dw 0
DATASEG1 ENDS
DATASEG2 SEGMENT PARA 'data'
WHERETOJ:
;stck db 32 dup (?)
txt db 4096 dup (?) , "$"
;string B
DATASEG2 ENDS
来电者是:
mov stacksp, sp
mov stackbp, bp
ASSUME DS: DATASEG2, SS:DATASEG2
mov ax, DATASEG2
mov DS, AX
mov ES, AX
MOV SS, AX
mov SP, 0FFFFh
call far ptr WHERETOJ ; (Now registers are SP:FFFF, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:192D, IP:00BD)
ASSUME DS: DATASEG1, SS:STACKSEG
mov ax, STACKSEG
MOV SS, AX
MOV AX, DATASEG1
MOV DS, AX
MOV ES, AX
mov bx, offset stackbp
mov bp, [bx]
mov bx, offset stacksp
mov sp, [bx]
ret
COM 文件只是 运行s int 10h 来打印一个字符并且应该 return 给调用者:
mov ax, 0945h ; (Now registers are changed to SP:FFFB, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:0000)
mov bx, 0006
mov cx, 40
int 10h
ret ;; ( registers are SP:FFFB, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:000B)
;;ret is ran, the registers are: SP:FFFBD, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:00C2
问题是,当 COM
文件是 运行 时,ret
不会 return 到调用者,而是到一个错误的未知 IP。
您的主要问题是您正在执行的 RET
是 NEAR return。实模式下的 NEAR return 将导致从堆栈中弹出一个 16 位偏移量,并将 IP(指令指针)设置为该值。该段不会改变。
您的代码:
call far ptr WHERETOJ
是一个 FAR CALL
并推送 16 位代码段 (CS),然后是 16 位 IP。 NEAR RETURN 仅从 16 位 IP 中弹出并将段留在堆栈中。
在 FAR CALL 点你说寄存器有:
SP:FFFF, SS:1820, CS:192D, IP:00BD
A CALL
将 CS 推入 IP CALL
之后的指令。 FAR CALL 被编码为 5 字节指令,因此压入堆栈的地址为 192Dh:00C2h (00BDh+5=00C2h)。当您执行 NEAR return 时,它没有更改 CS,但将 IP 更改为 00C2h。它也只从堆栈弹出 2 个字节。这就是为什么您在执行 RET
指令时在调试器中看到的原因:
SP:FFFD, SS:1820, CS:1820, IP:00C2
SP 从 0FFFBh 递增 2 到 0FFFDh。 CS保持不变,IP设置为00C2h。 CS:IP 对不正确,因此您最终执行了您不打算执行的内存。如果将 RET
替换为 RETF
(FAR RETURN),那么您的代码将按预期工作,并且在执行 RET
时寄存器将具有这些值:
SP:FFFF, SS:1820, CS:192D, IP:00C2
DOS COM 程序
您使用术语 COM 程序,但您的代码表明它可能是一个 ORG(原点)为 0000h 的二进制文件,而不是 DOS COM 程序中典型的 0100h ORG。为了与 DOS COM 兼容,您必须在距代码段开头偏移 256 字节处加载代码和数据,程序将从 运行 开始。在 DOS COM 程序中,执行的第一条指令是 CS:0100h 而不是 CS:0000h
在典型的 DOS COM 程序中,DOS 加载程序将 0000h 压入堆栈顶部。如果您执行 NEAR RET,它将在 CS:0000h 处开始执行。前 256 个字节包含 DOS Program Segment Prefix (PSP)。 PSP 的前 2 个字节(因此 CS:0000h)是一条 INT 20H
指令。
INT 20h
will terminate a DOS COM program and return an ERRORLEVEL of 0 to the DOS command prompt that launched the program. INT 20h
should not be used to exit DOS EXE programs, you use INT 21h/AH=4C
代替。
如果您打算找到一种方法来使用 NEAR RETURN 来像 DOS 那样退出您的程序,那么您将必须在代码段内提供一种机制(代码)来执行此操作。由于您没有 DOS PSP(或选择不使用 DOS PSP),您将不得不在该段中找到一个位置来复制此类代码。最简单的机制是在开始执行程序之前在堆栈上创建一个 code trampoline。最简单的方法是将 FAR CALL(或 FAR JMP)压入堆栈,使您返回到 call far ptr WHERETOJ
指令之后的指令。
FAR CALL 在堆栈上的编码为:
9A oooo ssss
其中 9A
是 FAR CALL 的操作码,oooo
是要调用的偏移量,ssss
是要使用的段。我们希望栈指针(SP)保持在偶数对齐1 所以我们添加了一条NOP
指令总共6字节(6 是偶数)。堆栈看起来像:
90 9A oooo ssss
一旦在堆栈上构建了 NOP+FAR CALL,就需要压入该代码的偏移量,以便 NEAR RET 在执行时最终调用它。
COM 程序中的执行路径将是 NEAR RET (ret
) 导致 IP 更改为 NOP+FAR CALL 所在的堆栈地址是并执行该指令以回调到用于首先开始执行 COM 程序的 FAR JMP 的位置。您也可以在堆栈上编码 NOP+FAR JMP,但是 NOP+FAR CALL 的优点是将 CS 的值压入堆栈,这在以后可能会有用,特别是如果您在内存中加载了多个 COM 程序。
在 8086 或更高版本的处理器上写入 运行 的示例程序可能如下所示:
.8086
STACKSEG SEGMENT STACK 'stack'
DW 512 DUP(?)
STACKSEG ENDS
DATASEG1 SEGMENT PARA 'data'
finstr db 0dh, 0ah, 'Returned from COM program', 0dh, 0ah, '$'
stacksp dw 0
stackbp dw 0
DATASEG1 ENDS
DATASEG2 SEGMENT PARA 'data'
WHERETOJ:
mov ax, 0945h
mov bx, 0057h
mov cx, 40
int 10h
ret
org 65536 ; Expand the segment to 64KiB
DATASEG2 ENDS
CODESEG1 SEGMENT PARA 'code'
main:
ASSUME DS: DATASEG1, SS:STACKSEG
mov [stacksp], SP
mov [stackbp], BP
ASSUME DS: DATASEG2, SS:DATASEG2
mov AX, DATASEG2
mov DS, AX
mov ES, AX ; DS=ES=SS=DATASEG2
; CLI ; If running on BUGGY 8088 you would need to have CLI/STI
MOV SS, AX
xor SP, SP ; SP = 0. Grow down from top of 64KiB SS segment
; STI
; Build FAR CALL on the COM programs stack
; to return to this code when NEAR RET done
push CS ; Put CS on stack as part of FAR CALL
mov AX, offset aftercom
; Push the IP of the instruction after the FAR JMP below
push AX
mov AX, 09a90h ; Put a NOP(90h) on the stack and 9AH (FAR CALL opcode)
push AX ; NOP used as padding to keep SP aligned on an even address
mov AX, SP
push AX ; Push a copy of SP on the stack. SP is the address of the
; NOP
; CALL FAR PTR segment:offset instruction built on stack
jmp far ptr WHERETOJ ; Start executing our program code
aftercom:
add SP, 10 ; When we return the stack has 10 bytes on it (6 bytes
; for FAR CALL and the NOP + 4 bytes of the CALLers
; IP and CS). Clean them up
ASSUME DS: DATASEG1, SS:STACKSEG
MOV AX, DATASEG1
MOV DS, AX
MOV ES, AX
mov AX, STACKSEG
; CLI ; If running on BUGGY 8088 you would need to have CLI/STI
MOV SS, AX ; Restore SS:SP one after another since interrupts
; will be off until the instruction after changing SS
mov SP, [stacksp]
; STI
mov BP, [stackbp]
mov AH, 09 ; Display a string saying we returned
mov DX, offset finstr
int 21h
mov AX, 4c00h ; Exit DOS EXE program with ERRORLEVEL 0
int 21h
CODESEG1 ENDS
END main
当 运行:
时,代码的正常运行版本看起来与此类似
脚注
- 1在实模式下,出于性能原因,您应该始终将堆栈指针 (SP) 对齐到偶数偏移量。不是使用 0FFFFh 作为起始堆栈地址,而是使用 0000h。完成的第一个
PUSH
会将 SP 包装到 0FFFEh (0000h-0002h=0FFFEh) before 将值写入堆栈。
我有一个汇编代码,可以将 COM 文件加载到内存并 运行s 它。 COM 文件将加载到一个单独的数据段,将 DS 和 SS 更改为该段并将其调用到 运行 COM 文件。 我的数据和堆栈段是:
STACKSEG SEGMENT STACK 'stack'
DW 512 DUP(?)
STACKSEG ENDS
DATASEG1 SEGMENT PARA 'data'
stacksp dw 0
stackbp dw 0
DATASEG1 ENDS
DATASEG2 SEGMENT PARA 'data'
WHERETOJ:
;stck db 32 dup (?)
txt db 4096 dup (?) , "$"
;string B
DATASEG2 ENDS
来电者是:
mov stacksp, sp
mov stackbp, bp
ASSUME DS: DATASEG2, SS:DATASEG2
mov ax, DATASEG2
mov DS, AX
mov ES, AX
MOV SS, AX
mov SP, 0FFFFh
call far ptr WHERETOJ ; (Now registers are SP:FFFF, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:192D, IP:00BD)
ASSUME DS: DATASEG1, SS:STACKSEG
mov ax, STACKSEG
MOV SS, AX
MOV AX, DATASEG1
MOV DS, AX
MOV ES, AX
mov bx, offset stackbp
mov bp, [bx]
mov bx, offset stacksp
mov sp, [bx]
ret
COM 文件只是 运行s int 10h 来打印一个字符并且应该 return 给调用者:
mov ax, 0945h ; (Now registers are changed to SP:FFFB, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:0000)
mov bx, 0006
mov cx, 40
int 10h
ret ;; ( registers are SP:FFFB, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:000B)
;;ret is ran, the registers are: SP:FFFBD, BP:0, SI:0C40, DI:0C16, DS:1820,ES:1820, SS:1820, CS:1820, IP:00C2
问题是,当 COM
文件是 运行 时,ret
不会 return 到调用者,而是到一个错误的未知 IP。
您的主要问题是您正在执行的 RET
是 NEAR return。实模式下的 NEAR return 将导致从堆栈中弹出一个 16 位偏移量,并将 IP(指令指针)设置为该值。该段不会改变。
您的代码:
call far ptr WHERETOJ
是一个 FAR CALL
并推送 16 位代码段 (CS),然后是 16 位 IP。 NEAR RETURN 仅从 16 位 IP 中弹出并将段留在堆栈中。
在 FAR CALL 点你说寄存器有:
SP:FFFF, SS:1820, CS:192D, IP:00BD
A CALL
将 CS 推入 IP CALL
之后的指令。 FAR CALL 被编码为 5 字节指令,因此压入堆栈的地址为 192Dh:00C2h (00BDh+5=00C2h)。当您执行 NEAR return 时,它没有更改 CS,但将 IP 更改为 00C2h。它也只从堆栈弹出 2 个字节。这就是为什么您在执行 RET
指令时在调试器中看到的原因:
SP:FFFD, SS:1820, CS:1820, IP:00C2
SP 从 0FFFBh 递增 2 到 0FFFDh。 CS保持不变,IP设置为00C2h。 CS:IP 对不正确,因此您最终执行了您不打算执行的内存。如果将 RET
替换为 RETF
(FAR RETURN),那么您的代码将按预期工作,并且在执行 RET
时寄存器将具有这些值:
SP:FFFF, SS:1820, CS:192D, IP:00C2
DOS COM 程序
您使用术语 COM 程序,但您的代码表明它可能是一个 ORG(原点)为 0000h 的二进制文件,而不是 DOS COM 程序中典型的 0100h ORG。为了与 DOS COM 兼容,您必须在距代码段开头偏移 256 字节处加载代码和数据,程序将从 运行 开始。在 DOS COM 程序中,执行的第一条指令是 CS:0100h 而不是 CS:0000h
在典型的 DOS COM 程序中,DOS 加载程序将 0000h 压入堆栈顶部。如果您执行 NEAR RET,它将在 CS:0000h 处开始执行。前 256 个字节包含 DOS Program Segment Prefix (PSP)。 PSP 的前 2 个字节(因此 CS:0000h)是一条 INT 20H
指令。
INT 20h
will terminate a DOS COM program and return an ERRORLEVEL of 0 to the DOS command prompt that launched the program. INT 20h
should not be used to exit DOS EXE programs, you use INT 21h/AH=4C
代替。
如果您打算找到一种方法来使用 NEAR RETURN 来像 DOS 那样退出您的程序,那么您将必须在代码段内提供一种机制(代码)来执行此操作。由于您没有 DOS PSP(或选择不使用 DOS PSP),您将不得不在该段中找到一个位置来复制此类代码。最简单的机制是在开始执行程序之前在堆栈上创建一个 code trampoline。最简单的方法是将 FAR CALL(或 FAR JMP)压入堆栈,使您返回到 call far ptr WHERETOJ
指令之后的指令。
FAR CALL 在堆栈上的编码为:
9A oooo ssss
其中 9A
是 FAR CALL 的操作码,oooo
是要调用的偏移量,ssss
是要使用的段。我们希望栈指针(SP)保持在偶数对齐1 所以我们添加了一条NOP
指令总共6字节(6 是偶数)。堆栈看起来像:
90 9A oooo ssss
一旦在堆栈上构建了 NOP+FAR CALL,就需要压入该代码的偏移量,以便 NEAR RET 在执行时最终调用它。
COM 程序中的执行路径将是 NEAR RET (ret
) 导致 IP 更改为 NOP+FAR CALL 所在的堆栈地址是并执行该指令以回调到用于首先开始执行 COM 程序的 FAR JMP 的位置。您也可以在堆栈上编码 NOP+FAR JMP,但是 NOP+FAR CALL 的优点是将 CS 的值压入堆栈,这在以后可能会有用,特别是如果您在内存中加载了多个 COM 程序。
在 8086 或更高版本的处理器上写入 运行 的示例程序可能如下所示:
.8086
STACKSEG SEGMENT STACK 'stack'
DW 512 DUP(?)
STACKSEG ENDS
DATASEG1 SEGMENT PARA 'data'
finstr db 0dh, 0ah, 'Returned from COM program', 0dh, 0ah, '$'
stacksp dw 0
stackbp dw 0
DATASEG1 ENDS
DATASEG2 SEGMENT PARA 'data'
WHERETOJ:
mov ax, 0945h
mov bx, 0057h
mov cx, 40
int 10h
ret
org 65536 ; Expand the segment to 64KiB
DATASEG2 ENDS
CODESEG1 SEGMENT PARA 'code'
main:
ASSUME DS: DATASEG1, SS:STACKSEG
mov [stacksp], SP
mov [stackbp], BP
ASSUME DS: DATASEG2, SS:DATASEG2
mov AX, DATASEG2
mov DS, AX
mov ES, AX ; DS=ES=SS=DATASEG2
; CLI ; If running on BUGGY 8088 you would need to have CLI/STI
MOV SS, AX
xor SP, SP ; SP = 0. Grow down from top of 64KiB SS segment
; STI
; Build FAR CALL on the COM programs stack
; to return to this code when NEAR RET done
push CS ; Put CS on stack as part of FAR CALL
mov AX, offset aftercom
; Push the IP of the instruction after the FAR JMP below
push AX
mov AX, 09a90h ; Put a NOP(90h) on the stack and 9AH (FAR CALL opcode)
push AX ; NOP used as padding to keep SP aligned on an even address
mov AX, SP
push AX ; Push a copy of SP on the stack. SP is the address of the
; NOP
; CALL FAR PTR segment:offset instruction built on stack
jmp far ptr WHERETOJ ; Start executing our program code
aftercom:
add SP, 10 ; When we return the stack has 10 bytes on it (6 bytes
; for FAR CALL and the NOP + 4 bytes of the CALLers
; IP and CS). Clean them up
ASSUME DS: DATASEG1, SS:STACKSEG
MOV AX, DATASEG1
MOV DS, AX
MOV ES, AX
mov AX, STACKSEG
; CLI ; If running on BUGGY 8088 you would need to have CLI/STI
MOV SS, AX ; Restore SS:SP one after another since interrupts
; will be off until the instruction after changing SS
mov SP, [stacksp]
; STI
mov BP, [stackbp]
mov AH, 09 ; Display a string saying we returned
mov DX, offset finstr
int 21h
mov AX, 4c00h ; Exit DOS EXE program with ERRORLEVEL 0
int 21h
CODESEG1 ENDS
END main
当 运行:
时,代码的正常运行版本看起来与此类似脚注
- 1在实模式下,出于性能原因,您应该始终将堆栈指针 (SP) 对齐到偶数偏移量。不是使用 0FFFFh 作为起始堆栈地址,而是使用 0000h。完成的第一个
PUSH
会将 SP 包装到 0FFFEh (0000h-0002h=0FFFEh) before 将值写入堆栈。