0 前言

先給出源程序

assume cs:code
code segmentmov ax,4c00hint 21hstart:mov ax,0s:nopnopmov di,offset smov si,offset s2mov ax,cs:[si]mov cs:[di],axs0:jmp short ss1:mov ax,0int 21hmov ax,0s2:jmp short s1nopcode ends
end start

運行結果：本程序能夠正常Return Operating System。

1 程序運行分析

給出程序代碼中重要的偏移地址

assume cs:code
code segment0000	mov ax,4c00hint 21hstart:
0005	mov ax,00008 s:nopnopmov di,offset smov si,offset s2mov ax,cs:[si]mov cs:[di],ax0016 s0:jmp short s0018 s1:mov ax,0int 21hmov ax,00020 s2:jmp short s1nopcode ends
end start

關鍵的代碼：

mov di,offset s
mov si,offset s2
mov ax,cs:[si]
mov cs:[di],ax

這部分程序，將s2中的jmp short s1對應的2字節機器碼，存放到了s中的2個nop對應的內存單元中。

這里有一個關鍵點，短轉移機器碼存放的是位移量，不是偏移地址，因此，原來s2跳轉到s1是偏移-10個字節，存放到s的nop中，也將是偏移-10個字節，而不是跳轉到s1。

偏移-10個字節，正好跳轉到mov ax,4c00H，程序得以正常return operating system。

這里的誤區的，從表面看，可能誤以為是將跳轉到s1這條指令進行拷貝了，實際上不是這樣。

那么，為什么是-10而不是-8？因為這條指令本身占2個字節，執行指令前，IP = 0008，執行該指令，IP的變化為IP = IP + 2 - 10 = 0，也就跳轉到了mov ax,4c00H了。

再關注一個細節，-10是以補碼形式存儲的，查看指令jmp short s1的機器碼為EBF6，F6也就是十進制的-10。

我們來看一下IP的十六進制數的變化，指令執行前，IP = 0008，執行過程IP = 0008 + F6h + 2 = 0100h。

咦？為什么不是0，而是0100h，回想一個知識，短轉移的范圍是-128~127，也就是00 - FFh，再進行機器數加法的時候，IP是按照一個字節進行的加法，因此100h將會丟失高位，變為00h，則IP = 0000h。

如果偏移地址更大，比如-10000，對應D8F0，這個時候，就進行字運算，超過FFFF才會丟失。