編程之道

3.4 串操作

我們前面已經(jīng)提到，內(nèi)存可以和寄存器交換數(shù)據(jù)，也可以被賦予立即數(shù)。問題是，如果我們需要把內(nèi)存的某部分內(nèi)容復(fù)制到另一個地址，又怎么做呢？

設(shè)想將DS:SI處的連續(xù)512字節(jié)內(nèi)容復(fù)制到ES:DI（先不考慮可能的重疊）。也許會有人寫出這樣的代碼：

我不喜歡上面的代碼。它的確能達到作用，但是，效率不好。如果你是在做優(yōu)化，那么寫出這樣的代碼意味著賠了夫人又折兵。

Intel的CPU的強項是串操作。所謂串操作就是由CPU去完成某一數(shù)量的、重復(fù)的內(nèi)存操作。需要說明的是，我們常用的KMP算法（用于匹配字符串中的模式）的改進——Boyer算法，由于沒有利用串操作，因此在Intel的CPU上的效率并非最優(yōu)。好的編譯器往往可以利用Intel CPU的這一特性優(yōu)化代碼，然而，并非所有的時候它都能產(chǎn)生最好的代碼。

某些指令可以加上REP前綴（repeat, 反復(fù)之意），這些指令通常被叫做串操作指令。

舉例來說，STOSD指令將EAX的內(nèi)容保存到ES:DI，同時在DI上加或減四。類似的，STOSB和STOSW分別作1字節(jié)或1字的上述操作，在DI上加或減的數(shù)是1或2。

計算機語言通常是不允許二義性的。為什么我要說“加或減”呢？沒錯，孤立地看STOS?指令，并不能知道到底是加還是減，因為這取決于“方向”標志(DF, Direction Flag)。如果DF被復(fù)位，則加；反之則減。

置位、復(fù)位的指令分別是STD和CLD。

當(dāng)然，REP只是幾種可用前綴之一。常用的還包括REPNE，這個前綴通常被用來比較兩個串，或搜索某個特定字符（字、雙字）。REPZ、REPE、REPNZ也是非常常用的指令前綴，分別代表ZF(Zero Flag)在不同狀態(tài)時重復(fù)執(zhí)行。

下面說三個可以復(fù)制數(shù)據(jù)的指令：

于是上面的程序改寫為

第一句cld很多時候是多余的，因為實際寫程序時，很少會出現(xiàn)置DF的情況。不過在正式?jīng)Q定刪掉它之前，建議你仔細地調(diào)試自己的程序，并確認每一個能夠走到這里的路徑中都不會將DF置位。

錯誤（非預(yù)期的）的DF是危險的。它很可能斷送掉你的程序，因為這直接造成緩沖區(qū)溢出問題。

什么是緩沖區(qū)溢出呢？緩沖區(qū)溢出分為兩類，一類是寫入緩沖區(qū)以外的內(nèi)容，一類是讀取緩沖區(qū)以外的內(nèi)容。后一種往往更隱蔽，但隨便哪一個都有可能斷送掉你的程序。

緩沖區(qū)溢出對于一個網(wǎng)絡(luò)服務(wù)來說很可能更加危險。懷有惡意的用戶能夠利用它執(zhí)行自己希望的指令。服務(wù)通常擁有更高的特權(quán)，而這很可能會造成特權(quán)提升；即使不能提升攻擊者擁有的特權(quán)，他也可以利用這種問題使服務(wù)崩潰，從而形成一次成功的DoS（拒絕服務(wù)）攻擊。每年CERT的安全公告中，都有6成左右的問題是由于緩沖區(qū)溢出造成的。

在使用匯編語言，或C語言編寫程序時，很容易在無意中引入緩沖區(qū)溢出。然而并不是所有的語言都會引入緩沖區(qū)溢出問題，Java和C#，由于沒有指針，并且緩沖區(qū)采取動態(tài)分配的方式，有效地消除了造成緩沖區(qū)溢出的土壤。

匯編語言中，由于REP*前綴都用CX作為計數(shù)器，因此情況會好一些（當(dāng)然，有時也會更糟糕，因為由于CX的限制，很可能使原本可能改變程序行為的緩沖區(qū)溢出的范圍縮小，從而更為隱蔽）。避免緩沖區(qū)溢出的一個主要方法就是仔細檢查，這包括兩方面：設(shè)置合理的緩沖區(qū)大小，和根據(jù)大小編寫程序。除此之外，非常重要的一點就是，在匯編語言這個級別寫程序，你肯定希望去掉所有的無用指令，然而再去掉之前，一定要進行嚴格的測試；更進一步，如果能加上注釋，并通過善用宏來做調(diào)試模式檢查，往往能夠達到更好的效果。

3.5 關(guān)于保護模式中內(nèi)存操作的一點說明

正如3.2節(jié)提到到的那樣，保護模式中，你可以使用32位的線性地址，這意味著直接訪問4GB的內(nèi)存。由于這個原因，選擇器不用像實模式中段寄存器那樣頻繁地修改。順便提一句，這份教程中所說的保護模式指的是386以上的保護模式，或者，Microsoft通常稱為“增強模式”的那種。

在為選擇器裝入數(shù)值的時候一定要非常小心。錯誤的數(shù)值往往會導(dǎo)致無效頁面錯誤(在Windows中經(jīng)常出現(xiàn):)。同時，也不要忘記你的地址是32位的，這也是保護模式的主要優(yōu)勢之一。

現(xiàn)在假設(shè)存在一個描述符描述從物理的0:0開始的全部內(nèi)存，并已經(jīng)加載進DS(數(shù)據(jù)選擇器)，則我們可以通過下面的程序來操作VGA的VRAM：

很明顯，這比實模式下的程序

看上去要舒服一些。

3.6 堆棧

到目前為止，您已經(jīng)了解了基本的寄存器以及內(nèi)存的操作知識。事實上，您現(xiàn)在已經(jīng)可以寫出很多的底層數(shù)據(jù)處理程序了。

下面我來說說堆棧。堆棧實在不是一個讓人陌生的數(shù)據(jù)結(jié)構(gòu)，它是一個先進后出(FILO)（先進后出(FILO)是這樣一個概念：最后放進表中的數(shù)據(jù)在取出時最先出來。先進后出(FILO)和先進先出(FIFO, 和先進后出的規(guī)則相反)，以及隨機存取是最主要的三種存儲器訪問方式。對于堆棧而言，最后放入的數(shù)據(jù)在取出時最先出現(xiàn)。對于子程序調(diào)用，特別是遞歸調(diào)用來說，這是一個非常有用的特性。）的線性表，能夠幫助你完成很多很好的工作。

沒錯，沒錯，可是，如果數(shù)據(jù)段（數(shù)據(jù)選擇器）以及偏移量發(fā)生變化怎么辦？更進一步，如果希望保存某些在這種操作中可能受到影響的寄存器的時候怎么辦？確實，你可以把他們也存到自己的那片內(nèi)存中，自己實現(xiàn)堆棧。

太麻煩了……

既然系統(tǒng)提供了堆棧，并且性能比自己寫一份更好，那么為什么不直接加以利用呢？

系統(tǒng)堆棧不僅僅是一段內(nèi)存。由于CPU對它實施管理，因此你不需要考慮堆棧指針的修正問題。可以把寄存器內(nèi)容，甚至一個立即數(shù)直接放到堆棧里，并在需要的時候?qū)⑵淙〕觥Ｍ瑫r，系統(tǒng)并不要求取出的數(shù)據(jù)仍然回到原來的位置。

除了顯式地操作堆棧（使用PUSH和POP指令）之外，很多指令也需要使用堆棧，如INT、CALL、LEAVE、RET、RETF、IRET等等。配對使用上述指令并不會造成什么問題，然而，如果你打算使用LEAVE、RET、RETF、IRET這樣的指令實現(xiàn)跳轉(zhuǎn)(比JMP更為麻煩，然而有時，例如在加密軟件中，或者需要修改調(diào)用者狀態(tài)時，這是必要的)的話，那么我的建議是，先搞清楚它們做的到底是什么，并且，精確地了解自己要做什么。

正如前面所說的，有兩個顯式地操作堆棧的指令：

我們現(xiàn)在來看看堆棧的操作。

執(zhí)行之前

執(zhí)行代碼

之后，堆棧的狀態(tài)為

之后，再執(zhí)行

堆棧的狀態(tài)成為

當(dāng)然，dx、cx中的內(nèi)容將分別是000ah和1234h。

注意，最后這張圖中，我沒有抹去1234h和000ah，因為POP指令并不從內(nèi)存中抹去數(shù)值。不過盡管如此，我個人仍然非常反對繼續(xù)使用這兩個數(shù)（你可以通過修改SP來再次POP它們），然而這很容易導(dǎo)致錯誤。

一定要保證堆棧段有足夠的空間來執(zhí)行中斷，以及其他一些隱式的堆棧操作。僅僅統(tǒng)計PUSH的數(shù)量并據(jù)此計算堆棧所需的大小很可能造成問題。

CALL指令將返回地址放到堆棧中。絕大多數(shù)C/C++編譯器提供了“堆棧檢查”這個編譯選項，其作用在于保證C程序段中沒有忘記對堆棧中多余的數(shù)據(jù)進行清理，從而保證返回地址有效。

本章小結(jié)

本章中介紹了內(nèi)存的操作的一些入門知識。限于篇幅，我不打算展開細講指令，如cmps*，lods*，stos*，等等。這些指令的用法和前面介紹的movs*基本一樣，只是有不同的作用而已。