破解入门（一）-----常用寄存器

1CPU构成

CPU大体上可以分成以下三部分

（1）算术逻辑部分ALU（arithmeticlogicunit），用来进行算术和逻辑运算

（2）控制逻辑。

（3）工作寄存器，每个寄存器相当于运算器中的一个存储单元，但它存取速度快。用来存放运算过程中的需要或得到的各种信息，包括操作数地址、操作数及运算的中间结果。

2计算机中数据存储方式

在计算机中，一个二进制数占用一位，八位是一个字节。

在计算机内存中，就是以字节为单位来存储信息的。计算机给每一个字节单元分配一个唯一的存储器地址，称为物理地址。当需要访问相应的内存的数据时，就是通过这个地址。

一个二进制可以表达所有的ASCII，即一个内存单元可以存储一个英文字符或数字等。而中文要用Unicode表示，也就是需要两个字节单元才能装一个汉字。

十六位就是两个字节，才能装一个汉字。三十二位能装两个汉字叫做双字。六十四位能装四个汉字叫做四字。

3基本寄存器

3.1通用寄存器（32位）

通用寄存器一共有八个：EAX、EBX、ECX、EDX、ESP、EBP、EDI、ESI

其中EAX、EBX、ECX、EDX称为数据寄存器，用于存放计算过程中所用操作数、结果或其他信息。除了直接访问外，还可分别对其高十六位和低十六位，它们的低十六位就是把它们前边儿的E去掉，即EAX的低十六位就是AX。而且它们的低十六位又可以分别进行八位访问，也就是说，AX还可以再进行分解，即AX还可分为AH（高八位）AL（低八位）。

高16位

EAX 高8位（AH）

低16位（AX）

低8位（AL）

则操作32位数时可用：MOVEAX

则操作16位数时可用：MOVAX

则操作8位数时可用：MOVAH/MOVAL

备注：从386以后，所有寄存器都可以用来存储内存地址。在破解的时候是不是看到过[EBX]这样的形式呢？这就是说此时EBX中装的是一个内存地址，而真正要访问的，就是那那个内存单元中所存储的值。

ESP、EBP、EDI、ESI四个寄存器主要用途就是在存储器寻址时，提供偏移地址。因此，它们可以称为指针或变址寄存器。

ESP称为堆栈指针寄存器。堆栈是以“后进先出”方式工作的一个存储区，它必须存在于堆栈段中，因而其段地址存放于SS寄存器中。它只有一个出入口，所以只有一个堆栈指针寄存器。ESP的内容在任何时候都指向当前的栈顶。

当向堆栈中压入数据时，ESP会向上移动，使用PUSH指令，ESP变化为：ESP-数据位数。

当向堆栈中压出数据时，ESP会向下移动，使用POP指令，ESP变化为：ESP+数据位数

EBP，它称为基址指针寄存器，它们都可以与堆栈段寄存器SS联用来确定堆栈中的某一存储单元的地址，ESP用来指示段顶的偏移地址，而EBP可作为堆栈区中的一个基地址以便访问堆栈中的信息。

ESI（源变址寄存器）和EDI（目的变址寄存器）一般与数据段寄存器DS联用，用来确定数据段中某一存储单元的地址。这两个变址寄存器有自动增量和自动减量的功能，可以很方便地用于变址。在串处理指令中，ESI和EDI作为隐含的源变址和目的变址寄存器时，ESI和DS联用，EDI和附加段ES联用，分别达到在数据段和附加段中寻址的目的。

3.2专用寄存器

专用寄存器，有两个，一个是EIP，一个是FLAGS。

EIP算是所有寄存器中最重要的一个了。它的意思就是指令指针寄存器，它用来存放代码段中的偏移地址。在程序运行的过程中，它始终指向下一条指令的首地址。它与段寄存器CS联用确定下一条指令的物理地址。当这一地址送到存储器后，控制器可以取得下一条要执行的指令，而控制器一旦取得这条指令就马上修改EIP的内容，使它始终指向下一条指令的首地址。可见，计算机就是用EIP寄存器来控制指令序列的执行流程的。那些跳转指令，就是通过修改EIP的值来达到相应的目的的。

FLAGS，标志寄存器，又称PSW(programstatusword)，即程序状态寄存器。这一个是存放条件标志码、控制标志和系统标志的寄存器。

下面有个例子
CmpEAX,EBX;用EAX与EBX相减
JNZ00470395;不相等的话，就跳到这里;
这两条指令很简单，就是用EAX寄存器装的数减去EBX寄存器中装的数。来比较这两个数是不是相等，当Cmp指令执行过后，就会在FLAGS的ZF（zeroflag）零标志位上置相应值，如果结果为0，也就是他们两个相等的话，ZF置1，否则置0。其它还有OF（溢出标志）SF（符号标志）CF（进位标志）AF（辅助进位标志）PF（奇偶标志）等。

3.3段寄存器

段寄存器一共六个，分别是CS代码段，DS数据段，ES附加段，SS堆栈段，FS以及GS这两个还是附加段。