3.4 串操作

我們前面已經(jīng)提到，內(nèi)存可以和寄存器交換數(shù)據(jù)，也可以被賦予立即數(shù)。問(wèn)題是，如果我們需要把內(nèi)存的某部分內(nèi)容復(fù)制到另一個(gè)地址，又怎么做呢？

設(shè)想將DS:SI處的連續(xù)512字節(jié)內(nèi)容復(fù)制到ES:DI（先不考慮可能的重疊）。也許會(huì)有人寫出這樣的代碼：

我不喜歡上面的代碼。它的確能達(dá)到作用，但是，效率不好。如果你是在做優(yōu)化，那么寫出這樣的代碼意味著賠了夫人又折兵。

Intel的CPU的強(qiáng)項(xiàng)是串操作。所謂串操作就是由CPU去完成某一數(shù)量的、重復(fù)的內(nèi)存操作。需要說(shuō)明的是，我們常用的KMP算法（用于匹配字符串中的模式）的改進(jìn)——Boyer算法，由于沒(méi)有利用串操作，因此在Intel的CPU上的效率并非最優(yōu)。好的編譯器往往可以利用Intel CPU的這一特性優(yōu)化代碼，然而，并非所有的時(shí)候它都能產(chǎn)生最好的代碼。

某些指令可以加上REP前綴（repeat, 反復(fù)之意），這些指令通常被叫做串操作指令。

舉例來(lái)說(shuō)，STOSD指令將EAX的內(nèi)容保存到ES:DI，同時(shí)在DI上加或減四。類似的，STOSB和STOSW分別作1字節(jié)或1字的上述操作，在DI上加或減的數(shù)是1或2。

計(jì)算機(jī)語(yǔ)言通常是不允許二義性的。為什么我要說(shuō)“加或減”呢？沒(méi)錯(cuò)，孤立地看STOS?指令，并不能知道到底是加還是減，因?yàn)檫@取決于“方向”標(biāo)志(DF, Direction Flag)。如果DF被復(fù)位，則加；反之則減。

置位、復(fù)位的指令分別是STD和CLD。

當(dāng)然，REP只是幾種可用前綴之一。常用的還包括REPNE，這個(gè)前綴通常被用來(lái)比較兩個(gè)串，或搜索某個(gè)特定字符（字、雙字）。REPZ、REPE、REPNZ也是非常常用的指令前綴，分別代表ZF(Zero Flag)在不同狀態(tài)時(shí)重復(fù)執(zhí)行。

下面說(shuō)三個(gè)可以復(fù)制數(shù)據(jù)的指令：

于是上面的程序改寫為

第一句cld很多時(shí)候是多余的，因?yàn)閷?shí)際寫程序時(shí)，很少會(huì)出現(xiàn)置DF的情況。不過(guò)在正式?jīng)Q定刪掉它之前，建議你仔細(xì)地調(diào)試自己的程序，并確認(rèn)每一個(gè)能夠走到這里的路徑中都不會(huì)將DF置位。

錯(cuò)誤（非預(yù)期的）的DF是危險(xiǎn)的。它很可能斷送掉你的程序，因?yàn)檫@直接造成緩沖區(qū)溢出問(wèn)題。

什么是緩沖區(qū)溢出呢？緩沖區(qū)溢出分為兩類，一類是寫入緩沖區(qū)以外的內(nèi)容，一類是讀取緩沖區(qū)以外的內(nèi)容。后一種往往更隱蔽，但隨便哪一個(gè)都有可能斷送掉你的程序。

緩沖區(qū)溢出對(duì)于一個(gè)網(wǎng)絡(luò)服務(wù)來(lái)說(shuō)很可能更加危險(xiǎn)。懷有惡意的用戶能夠利用它執(zhí)行自己希望的指令。服務(wù)通常擁有更高的特權(quán)，而這很可能會(huì)造成特權(quán)提升；即使不能提升攻擊者擁有的特權(quán)，他也可以利用這種問(wèn)題使服務(wù)崩潰，從而形成一次成功的DoS（拒絕服務(wù)）攻擊。每年CERT的安全公告中，都有6成左右的問(wèn)題是由于緩沖區(qū)溢出造成的。

在使用匯編語(yǔ)言，或C語(yǔ)言編寫程序時(shí)，很容易在無(wú)意中引入緩沖區(qū)溢出。然而并不是所有的語(yǔ)言都會(huì)引入緩沖區(qū)溢出問(wèn)題，Java和C#，由于沒(méi)有指針，并且緩沖區(qū)采取動(dòng)態(tài)分配的方式，有效地消除了造成緩沖區(qū)溢出的土壤。

匯編語(yǔ)言中，由于REP*前綴都用CX作為計(jì)數(shù)器，因此情況會(huì)好一些（當(dāng)然，有時(shí)也會(huì)更糟糕，因?yàn)橛捎贑X的限制，很可能使原本可能改變程序行為的緩沖區(qū)溢出的范圍縮小，從而更為隱蔽）。避免緩沖區(qū)溢出的一個(gè)主要方法就是仔細(xì)檢查，這包括兩方面：設(shè)置合理的緩沖區(qū)大小，和根據(jù)大小編寫程序。除此之外，非常重要的一點(diǎn)就是，在匯編語(yǔ)言這個(gè)級(jí)別寫程序，你肯定希望去掉所有的無(wú)用指令，然而再去掉之前，一定要進(jìn)行嚴(yán)格的測(cè)試；更進(jìn)一步，如果能加上注釋，并通過(guò)善用宏來(lái)做調(diào)試模式檢查，往往能夠達(dá)到更好的效果。

3.5 關(guān)于保護(hù)模式中內(nèi)存操作的一點(diǎn)說(shuō)明

正如3.2節(jié)提到到的那樣，保護(hù)模式中，你可以使用32位的線性地址，這意味著直接訪問(wèn)4GB的內(nèi)存。由于這個(gè)原因，選擇器不用像實(shí)模式中段寄存器那樣頻繁地修改。順便提一句，這份教程中所說(shuō)的保護(hù)模式指的是386以上的保護(hù)模式，或者，Microsoft通常稱為“增強(qiáng)模式”的那種。

在為選擇器裝入數(shù)值的時(shí)候一定要非常小心。錯(cuò)誤的數(shù)值往往會(huì)導(dǎo)致無(wú)效頁(yè)面錯(cuò)誤(在Windows中經(jīng)常出現(xiàn):)。同時(shí)，也不要忘記你的地址是32位的，這也是保護(hù)模式的主要優(yōu)勢(shì)之一。

現(xiàn)在假設(shè)存在一個(gè)描述符描述從物理的0:0開(kāi)始的全部?jī)?nèi)存，并已經(jīng)加載進(jìn)DS(數(shù)據(jù)選擇器)，則我們可以通過(guò)下面的程序來(lái)操作VGA的VRAM：

很明顯，這比實(shí)模式下的程序

看上去要舒服一些。

3.6 堆棧

到目前為止，您已經(jīng)了解了基本的寄存器以及內(nèi)存的操作知識(shí)。事實(shí)上，您現(xiàn)在已經(jīng)可以寫出很多的底層數(shù)據(jù)處理程序了。

下面我來(lái)說(shuō)說(shuō)堆棧。堆棧實(shí)在不是一個(gè)讓人陌生的數(shù)據(jù)結(jié)構(gòu)，它是一個(gè)先進(jìn)后出(FILO)的線性表，能夠幫助你完成很多很好的工作。

先進(jìn)后出(FILO)是這樣一個(gè)概念：最后放進(jìn)表中
的數(shù)據(jù)在取出時(shí)最先出來(lái)。先進(jìn)后出(FILO)和先
進(jìn)先出(FIFO, 和先進(jìn)后出的規(guī)則相反)，以及隨
機(jī)存取是最主要的三種存儲(chǔ)器訪問(wèn)方式。

對(duì)于堆棧而言，最后放入的數(shù)據(jù)在取出時(shí)最先出
現(xiàn)。對(duì)于子程序調(diào)用，特別是遞歸調(diào)用來(lái)說(shuō)，這
是一個(gè)非常有用的特性。

一個(gè)鐵桿的匯編語(yǔ)言程序員有時(shí)會(huì)發(fā)現(xiàn)系統(tǒng)提供的寄存器不夠。很顯然，你可以使用普通的內(nèi)存操作來(lái)完成這個(gè)工作，就像C/C++中所做的那樣。

沒(méi)錯(cuò)，沒(méi)錯(cuò)，可是，如果數(shù)據(jù)段（數(shù)據(jù)選擇器）以及偏移量發(fā)生變化怎么辦？更進(jìn)一步，如果希望保存某些在這種操作中可能受到影響的寄存器的時(shí)候怎么辦？確實(shí)，你可以把他們也存到自己的那片內(nèi)存中，自己實(shí)現(xiàn)堆棧。

太麻煩了……

既然系統(tǒng)提供了堆棧，并且性能比自己寫一份更好，那么為什么不直接加以利用呢？

系統(tǒng)堆棧不僅僅是一段內(nèi)存。由于CPU對(duì)它實(shí)施管理，因此你不需要考慮堆棧指針的修正問(wèn)題�？梢园鸭拇嫫鲀�(nèi)容，甚至一個(gè)立即數(shù)直接放到堆棧里，并在需要的時(shí)候?qū)⑵淙〕�。同時(shí)，系統(tǒng)并不要求取出的數(shù)據(jù)仍然回到原來(lái)的位置。

除了顯式地操作堆棧（使用PUSH和POP指令）之外，很多指令也需要使用堆棧，如INT、CALL、LEAVE、RET、RETF、IRET等等。配對(duì)使用上述指令并不會(huì)造成什么問(wèn)題，然而，如果你打算使用LEAVE、RET、RETF、IRET這樣的指令實(shí)現(xiàn)跳轉(zhuǎn)(比JMP更為麻煩，然而有時(shí)，例如在加密軟件中，或者需要修改調(diào)用者狀態(tài)時(shí)，這是必要的)的話，那么我的建議是，先搞清楚它們做的到底是什么，并且，精確地了解自己要做什么。

正如前面所說(shuō)的，有兩個(gè)顯式地操作堆棧的指令：

我們現(xiàn)在來(lái)看看堆棧的操作。

執(zhí)行之前

執(zhí)行代碼

之后，堆棧的狀態(tài)為

之后，再執(zhí)行

堆棧的狀態(tài)成為

當(dāng)然，dx、cx中的內(nèi)容將分別是000ah和1234h。

注意，最后這張圖中，我沒(méi)有抹去1234h和000ah，因?yàn)镻OP指令并不從內(nèi)存中抹去數(shù)值。不過(guò)盡管如此，我個(gè)人仍然非常反對(duì)繼續(xù)使用這兩個(gè)數(shù)（你可以通過(guò)修改SP來(lái)再次POP它們），然而這很容易導(dǎo)致錯(cuò)誤。

一定要保證堆棧段有足夠的空間來(lái)執(zhí)行中斷，以及其他一些隱式的堆棧操作。僅僅統(tǒng)計(jì)PUSH的數(shù)量并據(jù)此計(jì)算堆棧所需的大小很可能造成問(wèn)題。

CALL指令將返回地址放到堆棧中。絕大多數(shù)C/C++編譯器提供了“堆棧檢查”這個(gè)編譯選項(xiàng)，其作用在于保證C程序段中沒(méi)有忘記對(duì)堆棧中多余的數(shù)據(jù)進(jìn)行清理，從而保證返回地址有效。

本章小結(jié)

本章中介紹了內(nèi)存的操作的一些入門知識(shí)。限于篇幅，我不打算展開(kāi)細(xì)講指令，如cmps*，lods*，stos*，等等。這些指令的用法和前面介紹的movs*基本一樣，只是有不同的作用而已。