PUSHAD
PUSHAD也叫保护现场,就是把我们的寄存器压入栈中
pushad是把eax,ecx,edx,ebx,esp、ebp,esi,edi依次压入栈中,ESP会减少32,相当于:
push eax
push ecx
push edx
push ebx
push esp
push ebp
push esi
push edi
就是我们在OD的寄存器窗口,看到的寄存器顺序,按照由上往下的顺序,依次压入栈,我们观察一下EDI的值,
此时栈顶值为:
执行pushad这条语句,栈顶值变成EDI的值了
POPAD
POPAD也叫还原现场,将栈中存储的寄存器值返还给寄存器
与PUSHAD顺序相反,将栈中数据弹出,依次传给EDI、ESI、EBP、ESP、EBX、EDX、ECX、EAX
相当于依次执行:
pop edi
pop esi
pop ebp
pop esp
pop ebx
pop edx
pop ecx
pop eax
PUSHA和POPA
PUSHA和POPA是操作16位寄存器的,功能与PUSHAD和POPAD相同
PUSHA相当于
push ax
push cx
push dx
push bx
push sp
push bp
push si
push di
POPA相当于依次执行:
pop di
pop si
pop bp
pop sp
pop bx
pop dx
pop cx
pop ax
