.586
.model flat,stdcall   ;.model 内存模式[,语言模式][,其他模式]
;定义了 .model flat   自动为各种段寄存器做了下面定义
;assume  cs:flat    ds:flat   ss:flat   es:flat fs:error gs:error
;若要使用fs gs的话要在前面声时 assume fs:nothing,gs:nothing |or| assume fs:flat,gs:flat
;windows api 调用使用的是stdcall
option casemap:none
;casemap:none 定义了程序中的变量和子程序名是否对大小写敏感  win32 api的api名称区分大小写
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
.data
szcaption db 'A MessageBox !',0
sztext db 'Hello,World !',0
.code
start:
invoke MessageBox,NULL,offset sztext,offset szcaption,MB_OK
invoke ExitProcess,NULL  ;退出程序
end start
od载入之后查看
00401000 >/$  6A 00         push    0                                      ; /Style = MB_OK|MB_APPLMODAL
//先把mb_ok这个值压入
00401002  |.  68 00304000   push    00403000                               ; |Title = "A MessageBox !"
//title压入
00401007  |.  68 0F304000   push    0040300F                               ; |Text = "Hello,World !"
//text压入
0040100C  |.  6A 00         push    0                                      ; |hOwner = NULL
//父句柄压入
0040100E  |.  E8 07000000   call    <jmp.&user32.MessageBoxA>              ; \MessageBoxA
//call 地址  0040101A    <jmp.&user32.MessageBoxA> 这个的地址就是在0040101A
//0040101A   $- FF25 08204000 jmp     dword ptr [<&user32.MessageBoxA>]      ;  user32.MessageBoxA
//call到这里。这里有一条jmp dword ptr 这里就是messageboxa的地址。
//点jmp dword ptr这句。ds:[00402008]=77D5058A (user32.MessageBoxA)
//                       本地调用来自 <模块入口点>+0E
//有这个在下面有这个东东。ds：偏移？这个好像就是dos asm里的段+偏移吧。跳过去就是在user.dll这个文件里的了。
//跳到user里的messagebox执行完之后又回来
//
00401013  |.  6A 00         push    0                                      ; /ExitCode = 0
//把0压栈？ //这个是退出码。
00401015  \.  E8 06000000   call    <jmp.&kernel32.ExitProcess>            ; \ExitProcess
//双跳到 kernel32里执行exitprocess函数了。。
//执行之后程序退出了
//
0040101A   $- FF25 08204000 jmp     dword ptr [<&user32.MessageBoxA>]      ;  user32.MessageBoxA
00401020   .- FF25 00204000 jmp     dword ptr [<&kernel32.ExitProcess>]    ;  kernel32.ExitProcess
00401026      00            db      00
00401027      00            db      00
//这个api函数，都是要把最后面的参数入栈，那么就在最下面了。pop时就是最后弹出，那么api函数执行之后。参数从左到右？？？？
难道这个就是stdcall从右到左的压栈方式???????

待续。。。。。。因为我看了几天pe格式。还有学了下od脱壳。不过。。。学不会。只会照别人怎么作怎么做。。
现在静心学下32汇编。。。。。
//后面加上pe方面的理解。输入表这些。。。。请大家帮我看下是否正确？
顺便问下。这个反汇编是否od就可以看到全部反的代码？
待续。。。。。。

00401013  |.  6A 00         push    0                                      ; /ExitCode = 0
//把0压栈？ //这个是退出码。
00401015  \.  E8 06000000   call    <jmp.&kernel32.ExitProcess>            ; \ExitProcess
是的，如果程序正常执行到这里的话。返回0意味着程序执行成功。

0040101A   $- FF25 08204000 jmp     dword ptr [<&user32.MessageBoxA>]      ;  user32.MessageBoxA
00401020   .- FF25 00204000 jmp     dword ptr [<&kernel32.ExitProcess>]    ;  kernel32.ExitProcess
00401026      00            db      00
00401027      00            db      00
//这个api函数，都是要把最后面的参数入栈，那么就在最下面了。pop时就是最后弹出，那么api函数执行之后。参数从左到右？？？？
难道这个就是stdcall从右到左的压栈方式???????
最后一个参数不是在最下面，因为CALL本身还要压入下条指令的EIP。编译器形成的栈桢码还要占位。所以一般第一个参数的访问方式是[ebp+8]而不是[ebp]，stdcall本就是右到左压栈被调函数自身清除堆栈。

顺便问下。这个反汇编是否od就可以看到全部反的代码？
基本上是原汁原味，不过你要用了其他语言的库的话就另当别论了。

反汇编是利用引擎对二进制的再识别,不一定会完全正确,具体可看下OPCODE的知识.
对win32宏汇编的识别率是最高的,基本上可以划等号 阅读起来没任何障碍.
所以只需要先把win32汇编学习熟练就可以. 借助反汇编来学习理解win32汇编代码没什么太大的必要,因为本身就相差不大.所以不用什么都去反汇编去看.
 对反汇编或者逆向感兴趣的话,先学熟悉win32汇编基础,再掌握PE格式,有这些知识,再继续学会比较容易些. 起码你在自己注释时,就会知道哪里用IAT表示,而不是很表面的字面形容了.
还是不要急,慢慢来.先专门学一下win32汇编.