曲徑通幽

這是從別人博客上摘的一段C嵌匯編碼
( http://m.shnenglu.com/kevinlynx/archive/2011/01/02/137886.html )
下面是調用方法

  原作者講了一些基礎，這里就不提了
看了一遍，發現 "ADD EAX, 3" 的用法有點奇怪（我相信搞破解的人一定比較熟悉，但正常的程序不會這么寫。）
初看 EAX 是地址，+3是很危險的，但仔細一看，發現代碼是為了從最外層主調函數一路穿越"caller" 直達 print_str，這里牽涉到一個重要問題，就是在CALL指令時，會有將“CALL指令下一條地址壓棧”的操作，那么代碼思路很明了了，就是為了要造出 調用print_str時，ESP(+0) 指向 caller(..)調用的下一個地址。
  第一關已經順利搞定，但又碰到個問題，由于 print_str 的入參是可變的，所以必須用 cdecl調用，那RET之后 如何平棧呢？ 如果直接跳到 caller下一條地址，就喪失了平棧的機會，最終會在某個主調函數上被微軟的 stack cookie捕獲拋個SEH。
  這里就用到文章開頭提到的 ADD EAX, 3。
  必須要造一個環境，讓 caller 調用完成后，給個機會清理現場。于是乎，caller之后就有了 ADD ESP, 4。其實這里的4是與print_str的入參數目相關的，每個參數要多加 4字節，如此一來，整個代碼就理順了。
  那為什么 是 ADD EAX, 3呢？ 應該是預估出一條ADD指令占用多少長度，和具體的環境有關。因為沒看INTEL手冊，這里只能認為ADD 寄存器+WORD的長度是3個字節。我用VC試驗了一下，的確是如此，我也嘗試了ADD 寄存器+DWORD，長度變為了5個字節。