Windows 初始执行上下文

Question

一旦Windows将可执行文件加载到内存中并将执行转移到入口点，寄存器和堆栈中的值是否有意义？如果是这样，我在哪里可以找到有关它的更多信息？

Answer 1

正式地，PE文件入口点的寄存器没有定义值。您应该使用 API（例如 GetCommandLine）来检索所需的信息。然而，由于最终将控制权转移到入口点的内核函数与以前相比并没有太大变化，一些PE加壳程序和恶意软件开始依赖它的特性。两个或多或少可靠的寄存器是：

• EAX 指向应用程序的入口点（因为内核函数使用 call eax 跳转到它）

• EBX指向进程环境块（PEB）。

Answer 2

《Windows 内部原理第五版》第 5 章详细介绍了 Windows 创建进程的机制。这将为您提供有关 Windows 在内存中加载可执行文件并将执行转移到入口点的更多信息。

我找到了这个最新的参考资料，其中介绍了如何在各种操作系统和各种编译器的各种调用约定中使用寄存器。它非常详细，而且看起来很全面：
Agner Fog 的调用约定文档