比如 我们有这样一个C函数

 1#include<stdio.h>
 2long test(int a,int b)
 3{
 4    a = a + 1;
 5    b = b + 100;
 6    return a + b;
 7}
 8void main()
 9{  
10  printf("%d",test(1000,2000));
11}
12

写成32位汇编就是这样

 1;//
 2.386
 3.module flat,stdcall           ;这里我们用stdcall 就是函数参数 压栈的时候从最后一个开始压，和被调用函数负责清栈
 4option casemap:none            ;区分大小写
 5
 6includelib msvcrt.lib          ;这里是引入类库 相当于 #include<stdio.h>了       
 7printf  PROTO C:DWORD,:VARARG  ;这个就是声明一下我们要用的函数头，到时候 汇编程序会自动到msvcrt.lib里面找的了 
 8                                ;:VARARG 表后面的参数不确定 因为C就是这样的printf(const char *, );
 9                               ;这样的函数要注意 不是被调用函数负责清栈 因为它本身不知道有多少个参数
10                               ;而是有调用者负责清栈  下面会详细说明
11.data
12szTextFmt  BYTE '%d',0        ;这个是用来类型转换的，跟C的一样,字符用字节类型
13a          dword 1000         ;假设
14b          dword 2000         ;处理数值都用双字 没有int 跟long 的区别
15
16;/////
17.code
18
19_test proc A:DWORD,B:DWORD 
20      push ebp
21      mov  ebp,esp
22      mov  eax,dword ptr ss:[ebp+8]
23      add  eax,1
24      mov  edx,dword ptr ss:[ebp+0Ch]
25      add  edx,100
26      add  eax,edx
27      pop  ebp      
28      retn 8
29_test endp
30
31_main proc 
32      push dword ptr ds:b       ;反汇编我们看到的b就不是b了而是一个[*****]数字 dword ptr 就是我们在ds(数据段)把[*****]
33                                ;开始的一个双字长数值取出来
34      push dword ptr ds:a       ;跟她对应的还有 byte ptr ****就是取一个字节出来 比如这样 mov  al,byte ptr ds:szTextFmt 
35                                ;就把 % 取出来 而不包括 d
36      call _test                  
37      push eax                  ;假设push eax的地址是×××××
38      push offset szTextFmt
39      call printf
40      add  esp,8
41      ret             
42_main endp
43end  _main
44
45;// 下面介绍堆栈的变化
46

首先要明白的是 操作堆栈段 ss 只能用 esp或ebp寄存器 其他的寄存器eax ebx edx等都不能够用 而 esp永远指向堆栈栈顶 ebp用来在堆栈段

里面寻址
push 指令是压栈 ESP=ESP-4
pop  指令是出栈 ESP=ESP+4
我们假设main函数一开始堆栈定是 ESP=400
push dword ptr ds:b                 ;ESP-4=396 ->里面的值就是 2000 就是b的数值
push dword ptr ds:a                 ;ESP-4=392 ->里面的值就是 1000 就是a的数值
call test                           ;ESP-4=388－>里面的数值是什么？这个太重要了 就是我们用来找游戏函数的原理所在。
                                                 里面的数值就是call test 指令下一条指令的地址－>即push eax的地址×××××

到了test函数里面

push ebp                           ;ESP-4=384->里面保存了当前ebp的值 而不是把ebp清零
mov  ebp,esp                       ;这里ESP＝384就没变化了，但是 ebp=esp=384,为什么要这样做呢 因为我们要用ebp到堆栈里面找参数
mov  eax,dword ptr ss:[ebp+8]      ;反汇编是这样的 想想为什么a就是[ebp+8]呢
                                   ;我们往上看看堆栈里地址392处就保存着a的值 这里ebp=384 加上8正好就是392了
                                   ;这样就把传递过来的1000拿了出来eax=1000
add  eax,1                         ;相当于 a+1了 eax=1001
mov  edx,dword ptr ss:[ebp+0Ch]    ; 0Ch=12 一样道理这里指向堆栈的地址是384+12=396 就是2000了 edx=2000
add  edx,100                       ;相当于 b+100 edx=2100
add  eax,edx                       ;eax=eax+edx＝1001＋2100＝3101 这里eax已经保存了最终的结果了 
                                   ;因为win32汇编一般用eax返回结果 所以如果最终结果不是在eax里面的话 还要把它放到eax
                                   ;比如假设我的结果保存在变量nRet里面 最后还是要这样 mov eax,dword ptr nRet
pop  ebp                           ;ESP=384+4=388 而保存在栈顶384的值 保存到 ebp中 即恢复ebp原来的值                       
                                   ;因为一开始我们就把ebp的值压栈了，mov ebp,esp已经改变了ebp的值，这里恢复就是保证了堆栈平衡
retn  8                            ;ESP+8->396 这里retn是由系统调用的 我们不用管 系统会自动把EIP指针指向 原来的call的下一条指令
                                   ;由于是系统自动恢复了call那里的压栈所以 真正返回到的时候ESP+4就是恢复了call压栈的堆栈
                                   ;到了这个时候 ESP=400 就是函数调用开始的堆栈，就是说函数调用前跟函数调用后的堆栈是一样的
                                   ;这就是堆栈平衡 
由于我们用stdcall上面retn 8就是被调用者负责恢复堆栈的意思了，函数test是被调用者，所以负责把堆栈加8,call 那里是系统自动恢复的

push eax                ;ESP-4=396->里面保存了eax的值3101
                        ;上面已经看到了eax保存着返回值，我们要把它传给printf也是通过堆栈传递       
push offset szTextFmt   ;ESP-4=392->里面保存了szTextFmt的地址 也就是C里面的指针 实际上没有什么把字符串传递的，我们传的都是地址
                        ;无论是在汇编或C 所以在汇编里没有什么字符串类型 用最多的就是DWORD。嘿嘿游戏里面传递参数 简单多了
call printf             ;ESP-4=388->里面保存了下一条指令的地址
add  esp,8              ;ESP+8=400 恢复了调用printf前的堆栈状态
                        ;上面说了由于printf后面参数是:VARARG 这样的类型是有调用者恢复堆栈的 所以printf里面没有retn 8之类的指令
                        ;这是由调用者负责清栈 main是调用者 所以下面一句就是 add esp,8 把堆栈恢复到调用printf之前
                        ;而call printf那里的压栈 是由系统做的 恢复的工作也是系统完成 我们不用理 只是知道里面保存是返回地址就够

;了
ret                     ;main 函数返回 其他的事情是系统自动搞定 我们不用理 任务完成