POP

目录

1. POP（pop）
   1. 基本作用
   2. 指令执行过程
   3. 指令格式
   4. 行为特性
   5. 等效展开示例
   6. ASCII 栈示意
   7. 常见用途

POP（pop）

基本作用

POP 指令将栈顶数据弹出到目标操作数中，然后上移栈指针。
与 PUSH 相反，POP 会使 ESP/RSP 增加。

指令执行过程

64 位：

1
操作数 = [rsp]
2
rsp = rsp + 8

32 位：

1
操作数 = [esp]
2
esp = esp + 4

指令格式

允许以下操作数：

• pop r/m16
• pop r/m32
• pop r/m64

不允许：

• pop 内存到内存
• pop 立即数

行为特性

• 栈指针向上移动
• 原栈数据不会被清空，只是逻辑上失效
• POP 不能直接弹立即数
• 弹入目标寄存器需要匹配大小（pop rax → 8 bytes）

等效展开示例

1
pop rax
2
; 等价于
3
mov rax, [rsp]
4
add rsp, 8

ASCII 栈示意

执行前：

1
rsp → +------------------+
2
      |   要弹出的值       |
3
      +------------------+

执行 pop rax 后：

1
rsp → +------------------+
2
      |   （旧数据）       |
3
      +------------------+
4
;       rax = 原栈顶值

⚠️注意，这里的 0x0012FF88 处的栈数据不会被清空，但程序正常执行时会覆盖

常见用途

• 恢复保存的寄存器
• 函数返回前恢复栈状态
• 移动栈顶跳过数据
• PWN 中用于 stack pivot 或栈调节