ASM

通常IDA对一个PE文件逆向出来的代码中，存在四个最基本的段text、idata、rdata、data，四个段为PE文件的结构中对应的段。

一、text段：
该段位程序代码段，在该段一开始就可以看到：

.text:00401000 ; Segment type: Pure code
.text:00401000 ; Segment permissions: Read/Execute

这里的段类型跟权限说明很…

retn 4
是个函数返回指令。

先假设个环境：
retn 4未执行时，ESP=0013feb8；EIP=5d1d8b97；而[0013feb8]=7c974a19

执行retn 4之后：

首先
EIP=[0013feb8]
：即此时cpu先指挥EIP获取到栈中0013feb8起4个字节的值7c974a19，作为retn跳转的目标，然后cpu跳过去等着执行7c974a19地址下的命令。

此时，EIP=7c974a…

现在总结一下:其中牵扯到lea指令,mov指令,[]

一.lea指令:
对于寄存器来说:第二个操作数是寄存器必须要加[],不然报错,这里lea就是取[寄存器]的值,如:
mov eax,2
lea ebx,[eax];执行后ebx=2
mov ebx,eax;等同于上句
lea ebx,eax;编译器报错: error A2070: invalid instruction operands

对于变量…