函数战争：内存领地的争夺与撤退

引言

逆向工程的本质，是在废墟中重建秩序。

我们面对的二进制代码，往往丢失了所有的变量名和注释，就像一座被炸毁的城市。而 '函数栈帧' ，就是这座城市地下的地基与骨架。如果不理解它是如何被 创建（Create）和销毁（Destroy） 的，我们就永远只能在代码的表层游荡。

我将这一章的学习称为 '函数战争'，因为每一次堆栈的开辟，都是程序在向操作系统索取资源；而每一次完美的平衡，都是为了确保程序能活着回到起点。这篇笔记，是我试图解构这一微观世界秩序的尝试。"

核心现象：地址是假的
- 现象： 在 VS Debug 模式下，CALL 00401xxx 后面的地址，通常不是函数真正的入口。
- 本质： 那是 ILT (增量链接表) 的地址，相当于"前台"或"中转站"。
- 目的： 为了编译加速（改代码只改中转站，不用改所有调用者）。
跳转流程：三步走
- 不要以为是 CALL -> 函数，实际路线是：
- CALL (调用者)： CALL 中转站 -> 压入返回地址 (Stack +1)。
- JMP (中转站/帐篷)： JMP 真实地址 -> 不压栈，直接飞 (Stack 不变)。
- PUSH EBP (真实函数)： 这里才是真正的函数开头 (Stack 此时只有 1 个返回地址)。
关键区别：CALL vs JMP
- CALL： 会留下痕迹（压入返回地址），像去住酒店要登记。
- JMP： 是无痕的（不压栈），像穿过一扇任意门。
- 结果： 正因为中间用的是 JMP，函数最后的 RET 才能直接跳回 CALL 的地方，完美忽略中转站。
满屏乱码：CC (int 3)
- 位置： 如果你在中转站看到 JMP 下面有一堆 CC。
- 实质： 汇编指令 int 3 (断点中断)。
- 作用：
  - 凑整（对齐）： 让下一个 JMP 的地址好看（4字节对齐）。
  - 地雷（防跑飞）： 程序正常跑绝不会碰它；碰了就是出 Bug 了，调试器会报警。
  - 策略： 直接无视，那是填充物。

⚡️ 一句话实战口诀

"Debug 模式看 Call 别当真，那是中转站；进去看见 JMP (帐篷) 和 CC (乱码) 别纠结；再跳一次到 push ebp，那才是真战场！"

平衡，是万物的法则，也是堆栈的法则。

从 SUB ESP 的借取，到 ADD ESP 的归还；从 PUSH 的入栈，到 POP 的出栈。我看到了一种极致的对称美。任何一次微小的失衡，任何一次忘记的 POP，都将导致程序的崩溃。

原来，看懂汇编不仅仅是看懂指令，更是看懂 '有借有还' 的契约精神。至此，函数栈帧的秘密已无处遁形。我也终于明白：要想控制程序的流向，首先要学会控制内存的起落。

笔记至此合上，但我的逆向之路，才刚刚启程。