第四章　第一個 Win64 視窗程式（二）

這一章將利用 MASM64 SDK 所提供的資源，重新撰寫 FIRST_WND1.ASM。你會發現，重寫後變得更具可讀性，也更簡單了。在說明如何改良 FIRST_WND1.ASM 之前，先介紹 INCLUDE 假指令，畢竟改良後的第一行，就是 INCLUDE 假指令。

INCLUDE 假指令

INCLUDE 假指令能將包含檔納入原始程式內。包含檔的內容其實就是組合語言原始碼，並且能夠通過組譯器組譯的。當原始程式用 INCLUDE 把包含檔納入時，就相當於把包含檔的全部內容貼在 INCLUDE 所在之處。INCLUDE 的語法如下：

INCLUDE 包含檔名稱

包含檔名稱有三種情形，會影響到哪個子目錄去尋找包含檔：

①、如果包含檔名稱是是從磁碟機開始，然後是路徑……一直到包含檔的主檔名與副檔名的完整檔名，那麼組譯器就只會搜尋指定的路徑，開啟包含檔，如果無法找到，就會產生錯誤。

②、如果僅僅只有包含檔名稱，沒有路徑。那麼組譯器會依下面順序搜尋該檔案：

先到「/I」選項所指定的目錄去尋找。「/I」選項是「ML64.EXE」的一個選項，例如在命令提示字元下組譯時，下達「ml64 /Ie:\masm64\include64 first_wnd2.asm」，組譯器就會到「e:\masm64\include64」子目錄去搜尋包含檔。
當前目錄。
如果使用者有事先定義「INCLUDE」環境變數，那麼就會到此目錄下去搜尋。設定 INCLUDE 環境變數，必須用命令提示字元的「SET INCLUDE=」指令，同時 INCLUDE 可以設定在多個子目錄中搜尋，中間以「;」隔開。

如果以上三者都找不到的話，就會產生錯誤。

③、如果檔案名稱包含相對路徑，那麼組譯器會把 INCLUDE 後的路徑接在②所提到的三種目錄之後，也就是說 INCLUDE 後的路徑當成是這三個目錄的子目錄。例如原始程式中是「INCLUDE Win64\MATH.INC」，而組譯時輸入「ml64 /IE:\HomePage\Source PARABOLA.ASM」，那麼組譯器會開啟「E:\HomePage\Source\Win64\MATH.INC」包含檔。

包含檔是純文字檔，副檔名並沒有硬性規定，一般是 *.INC（很明顯，是 include 的縮寫）或 *.MAC（具有這種副檔名的檔案內容，大多是巨集指令），但是也可以是其他副檔名。

可能有人會問，既然是組合語言原始碼，何不直接寫在原始程式內，反而要多此一舉呢？原因是，如果製作成包含檔，很容易可以讓其他程式使用，並且還能增加可讀性。例如在 win64.inc 裡宣告了 MB_OK、MB_OKCANCEL……等常數，只要用 INCLUDE 把 win64.inc 納進來，任何程式呼叫 MessageBoxA，第四個參數就可以使用 MB_OK 這樣一目瞭然的常數，不用去記數值。

把 FIRST_WND1 改成 FIRST_WND2

這一章要利用 MASM64 SDK 所提供的包含檔，重新撰寫 FIRST_WND1.ASM，修改後的原始程式稱為 FIRST_WND2.ASM。

INCLUDE E:\masm64\include64\masm64rt.inc

;*********************************************************************

.CONST

szCaption DB "第一個Win64程式",0

szText DB "這是用組合語言寫的64位元程式。",0

;*********************************************************************

.CODE

;---------------------------------------------------------------------

main PROC

invoke MessageBox,0,ADDR szText,ADDR szCaption,MB_OK

invoke ExitProcess,0

main ENDP

;*********************************************************************

END

與 FIRST_WND1.ASM 比較起來，原始程式小了很多，不同的地方有下面幾處：

設定區分大小寫、宣告外部副程式、引入匯入程式庫都用包含檔 masm64rt.inc 完成。
Win64 API 參數會用到的常數，像 MB_OK……等，也都在包含檔中宣告。
使用 invoke 呼叫 Win64 API。

masm64rt.inc 包含檔

如果你開啟 masm64rt.inc，觀察其內容，會發現前幾行是：

    OPTION DOTNAME                          ; required for macro files
    option casemap:none                     ; case sensitive

    include \masm64\include64\win64.inc     ; main include file
    include \masm64\macros64\vasily.inc     ; main macro file
    include \masm64\macros64\macros64.inc   ; auxillary macro file
        ⁝
    includelib \masm64\lib64\kernel32.lib
    includelib \masm64\lib64\user32.lib
    includelib \masm64\lib64\gdi32.lib
        ⁝

第二行宣告了「option casemap:none」；而後面幾行，則是載入了匯入程式庫。所以，在 FIRST_WND2.ASM 不需要設定區分大小寫、也不需要載入匯入程式庫，都由 masm64rt.inc 代勞了。

在上面 masm64rt.inc 的第四行，載入了 win64.inc。在 win64.inc 的其中一行宣告了「MB_OK equ 0h」，所以，FIRST_WND2.ASM 也不需宣告 MessageBoxA 用到的 MB_OK 參數。在 win64.inc 裡面不僅僅是宣告了 MessageBoxA 的參數可以使用的常數，也宣告了其他許許多多 Win64 API 可用的常數。

講了這麼多，看似雜亂無章，其實結論就只有一句話，往後用 MASM64 SDK 撰寫組合語言程式，只須在第一行加上「INCLUDE E:\masm64\include64\masm64rt.inc」，就能自動設定區分大小寫、宣告外部 Win64 API……等雜事，非常方便。

invoke 巨集

接下來看看 main 主程式，它用兩個 invoke 就完成呼叫 MessageBox 與 ExitProcess，那麼 invoke 是什麼呢？

在說明 invoke 之前，先來了解它的歷史。在微軟發售 MASM 6.x 的時候，正是 16 位元的 MS－DOS 作業系統功成身退，32 位元的 Windows 95/98 嶄露頭角之際。那時的組譯器稱為 ML.EXE，能開發 16 位元的 MS－DOS 程式與 32 位元的 Windows 程式。微軟也是在此時，把 invoke、.if/.elseif/.else/.endif、.while/.endw……等高階假指令加入到 ML.EXE 組譯器之中，之前版本並不支援它們。Win32 API 呼叫慣例稱為 STDCALL，invoke 僅需一行就能呼叫 Win32 API，invoke 發揮了很好的功用。

到了 64 位元的 Win64 時代，開發 64 位元程式的組譯器是 ML64.EXE，但是微軟反而把 invoke 等高階假指令刪掉了，所以前幾章裡才會用很麻煩的方法呼叫 Win64 API。然而，許多前輩先進並不情願讓這樣好用的指令消失，於是發揮自身才能並無私的奉獻，利用 ML64.EXE 的巨集以及條件組譯（巨集、條件組譯都很複雜，在第章再做介紹）來模擬 invoke，MASM64 SDK 就是其中之一。

MASM64 SDK 裡的 macro64.inc 有一大段程式碼定義了 invoke 巨集，使用它呼叫自製的副程式或 Win64 API 時，會自動調整影子空間，並對齊節位址，也會自動將前四個參數存入對應的暫存器中，第五個及其以後的參數推入堆疊中，然後執行 CALL 指令，非常方便。invoke 的語法如下：

invoke  副程式名稱,參數列表

使用 invoke 時，有一些事情得注意：

invoke 必須使用小寫，因為它是使用者自行定義的巨集，並非假指令。
如果參數是某個變數或字串的位址，那麼不可以用 OFFSET，必須使用 ADDR。這是因為這些變數可能是在堆疊內的區域變數，並非在資料區段的全域變數，也就是說這種區域變數只有在執行時，才能計算出位址，在組譯階段無法得知其位址。
如果參數是 ANSI 字串的位址，可以用一對「"」將字串括住，直接寫在參數上即可。
如果參數太多，或為了可讀性，想要換行，可以在要換行的地方使用「\」，ML64.EXE 會自動把下一行接到後面。

例如在 FIRST_WND2 中，呼叫 MessageBox 也可以寫成：

invoke	MessageBox,\
                   0,\
                   "這是用組合語言寫的64位元程式。",\
                   "第一個Win64程式",\
                   MB_OK

寫成這種樣子時，就能把資料區段內的 szCaption、szText 兩字串刪去。

為何不是 MessageBoxA 或 MessageBoxW，而是 MessageBox

眼尖的讀者或許已經發現，在 FIRST_WND2.ASM 裡呼叫的 Win64 API 並不是 MessageBoxA 或 MessageBoxW，而是 MessageBox，怎麼好端端的又冒出來一個名稱非常類似的呢？

事實上，MSDN 或微軟網站對 Win64 API 的說明，並不分 ANSI 版或寬字元版，都是把字尾的「A」或「W」去掉。例如用 MessageBox 去代替 MessageBoxA 或 MessageBoxW。往後用組合語言撰寫應用程式，如果把包含檔納入，也不會加上「A」或「W」，這是因為往後會在原始程式中添加包含檔，其內會有一套轉換機制，像下面的樣子：

IFNDEF __UNICODE__
  MessageBox equ <MessageBoxA>
ENDIF
⁝
IFDEF __UNICODE__
  MessageBox equ <MessageBoxW>
ENDIF

這段程式裡的 IFDEF/ENDIF 與 IFNDEF/ENDIF 是巨集指令中的條件組譯，它們的語法如下：

IFDEF 符號
  程式片段
ENDIF

IFNDEF 符號
  程式片段
ENDIF

IFDEF 是 if defined 的意思，也就是說，如果符號已定義或已宣告，就組譯夾在 IFDEF 與 ENDIF 之間的程式片段。IFNDEF 是 if not defined，也就是說，如果符號未定義或未宣告，就組譯夾在 IFNDEF 與 ENDIF 之間的程式片段。所以上面的轉換機制的意思，如果沒有宣告 __UNICODE__ 的話，那麼 MessageBox 就等於 MessageBoxA；如果有的話，MessageBox 就等於 MessageBoxW。宣告 __UNICODE__ 的方法很簡單，只需要一行：

__UNICODE__     EQU     1

在 FIRST_WND2.ASM 裡，沒有宣告 __UNICODE__，所以會把 MessageBox 視為 MessageBoxA。

用 x64dbg 載入 FIRST_WND2.EXE

剛剛提過 invoke 有幾個作用：會自動調整影子空間，並對齊節位址，能自動將前四個參數存入對應的暫存器中，第五個及其以後的參數推入堆疊中，然後執行 CALL 指令。底下用 x64dbg 載入 FIRST_WND2.EXE 觀察看看：

上圖紫色框內的就是 FIRST_WND2.EXE 的程式碼。第一個指令是 EXTER，底下先說說這個指令。

x64 指令：ENTER 與 LEAVE

ENTER 指令能簡化建立堆疊框的工作，通常是進入副程式的第一個指令，它會完成以下三件事情：①把 RBP 推入堆疊；②把 RSP 之值存入 RBP 裏；③保留區域變數的空間。有關 RBP 暫存器、堆疊框、區域變數的說明稍後介紹，建議瞭解他們之後，可以回來複習 ENTER 指令。ENTER 的語法是：

ENTER   立即值1,立即值2

立即值1代表要在堆疊上保留多少位元組給區域變數使用。如果副程式沒有區域變數，故可用「ENTER 0,0」，這樣就等效於：

        push    rbp
        mov     rbp,rsp

如果副程式有兩個資料類型是 QWORD 的區域變數，佔用十六個位元組，可用「ENTER 16,0」，等效於下面的指令：

        push    rbp
        mov     rbp,rsp
        sub     rsp,16

立即值2只能是 0～31 之間的整數，可以是 0 或 31，它用來支援巢狀副程式。所謂巢狀副程式（nested procedures）就是指一個副程式甲內包含另一個副程式乙，而乙能夠使用甲的區域變數。這裡的包含副程式乙，並不是呼叫副程式乙，而是原始程式中副程式甲裡面又有副程式乙的意思，如下面程式：

副程式甲　　PROC
            ⁝
　副程式乙  PROC
            ⁝
　副程式乙  ENDP
            ⁝
副程式甲　　ENDP

在這種情形下，副程式甲使用「ENTER xx,0」，副程式乙使用「ENTER yy,1」。這種巢狀副程式因為能讀取上一層副程式的區域變數，會變得很複雜，因此像 C 語言就禁用這種副程式，初學者與老手都最好少用。

LEAVE 指令沒有運算元，它是用來刪去堆疊框的，語法是：

LEAVE

LEAVE 的過程恰好與 ENTER 相反：①把 RBP 之值存入 RSP 裏；②自堆疊彈出一數值到 RBP。LEAVE 並沒有像 ENTER 那樣有「ADD RSP,XX」的過程，事實上也不須這個功能，因為 LEAVE 會把原來存於 RBP 中的堆疊頂取回，這樣就完成刪除區域變數的功能了。總之，LEAVE 指令相當於底下兩個指令的組合：

        mov     rsp,rbp
        pop     rbp

LEAVE 通常會與 ENTER 搭配，在副程式結束呼叫 RET 指令之前執行。像底下的樣子：

MyFunc  PROC
        push  rbp           ;保存舊的 RBP
        mov   rbp,rsp       ;建立堆疊框
        sub   rsp,20h       ;分配區域變數空間
        ⁝
        leave               ;清理堆疊框 ≡ mov rsp,rbp + pop rbp
        ret                 ;返回主程式
MyFunc  ENDP

有關 ENTER/LEAVE 指令，也請參考第章的說明。

ADDR 假指令

以 invoke 呼叫副程式時，如果其參數是某個變數或字串名稱的位址，那麼必須在該變數或字串名稱之前加上 ADDR。ADDR 是專門用於 invoke 的參數列表中，求出變數或字串名稱的位址。

比較原始程式與用 x64dbg 載入可執行檔後的程式碼，你會發現：

invoke  MessageBox,0,ADDR szText,ADDR szCaption,MB_OK

被轉換為

mov   rcx,0
lea   rdx,qword ptr ds:[13F7F2030]
lea   r8,qword ptr ds:[13F7F2020]
mov   r9,0
call  qword ptr ds:[<MessageBoxA>]

從這兒就能發現，事實上 ADDR 是把其後所接的變數或字串名稱，用 LEA 指令來求得其位址。也因為是這樣，所以能得到在執行階段變數或字串的位址。

解析 MASM64 SDK 組譯結果

比較 FIRST_WND1.EXE 與 FIRST_WND2.EXE 的程式碼不一樣的地方，可以大致看出來 masm64rt.inc 做了哪些事：

FIRST_WND1

FIRST_WND2

sub  rsp,28
xor  rcx,rcx
mov  rdx,first_wnd1.7FF72C822030
lea  r8,qword ptr ds:[7FF72C822020]
mov  r9,0
call qword ptr ds:[<MessageBoxA>]
sub  rcx,rcx
call qword ptr ds:[<ExitProcess>]

enter 80,0
sub   rsp,60
mov   rcx,0
lea   rdx,qword ptr ds:[13F7F2030]
lea   r8,qword ptr ds:[13F7F2020]
mov   r9,0
call  qword ptr ds:[<MessageBoxA>]
mov   rcx,0
call  qword ptr ds:[<ExitProcess>]

上表中紫紅色的部分就是兩者的差異，左欄中是我們自己用人工調整的方式，使在呼叫 MessageBoxA 前，實現空下前四個參數的影子空間以及 RSP 對齊節位址，這些都在前一章已有詳盡的說明。

右欄紫紅色的部分，是包含檔 masm64rt.inc 所做的調整。這兩行指令，相當於底下的四道指令：

        push    rbp
        mov     rbp,rsp
        sub     rsp,80h
        sub     rsp,60h

同樣也能達成這兩項目的，但卻有兩個不同的地方：

保存 RBP，這是為了存取區域變數，稍後介紹。
除了保留前四個參數的影子空間外，還在堆疊上保留更多的空間，這應該是為了呼叫具有更多參數的副程式或 Win64 API 所做的。

結論

小木偶從第一章介紹組合語言基本結構開始，到第二章介紹記憶體、位址、堆疊等基礎概念，第三章的副程式與 Win64 API，最後是本章利用 MASM64 SDK 大幅簡化用組合語言撰寫 Win64 應用程式的過程。往後小木偶所舉的例子，都會用 MASM64 SDK 來撰寫 Win64 應用程式。

用這套工具撰寫 Win64 應用程式，其實很簡單，步驟如下：

在第一行使用 INCLUDE 把 masm64rt.inc 納入進來。
使用 invoke 呼叫副程式或 Win64 API，可以完全不必理會 x64 呼叫慣例，MASM64 SDK 會自動處理好這些細節，雖然浪費了一些堆疊空間。
在 invoke 之後的參數中，如果要取得某個變數或字串位址，必須使用 ADDR。
除了 invoke 之外，還有一些巨集也非常好用，例如 .if/.elseif/.else/.endif 等等，將在往後介紹。

第四章 第一個 Win64 視窗程式（二）

INCLUDE 假指令

把 FIRST_WND1 改成 FIRST_WND2

masm64rt.inc 包含檔

invoke 巨集

為何不是 MessageBoxA 或 MessageBoxW，而是 MessageBox

用 x64dbg 載入 FIRST_WND2.EXE

x64 指令：ENTER 與 LEAVE

ADDR 假指令

解析 MASM64 SDK 組譯結果

結論

第四章　第一個 Win64 視窗程式（二）