shooo和kanxue在脱asp2.x时提到
"进入EA0000后发生了什么，一共三层
第一层：保存所有当前寄存器 (出来后还要继续运行的，不能影响后面，不过它不是明目张胆的pushad)
第二层：1. 决定是哪一种方式的导入函数调用
           a. 第一种方式：将call 00EA0000 变成call F00004之类，出来后再次从原地进入F00004进入导入函数
           b. 第二种方式：直接带着参数进入导入函数
        2. 决定这个调用是call (ff15)还是jmp (ff25)
           不要以为C的都是call，delphi的都是jmp
           c. 如果是call (ff15)，返回地址要+1 ，比如inc [esp]，因为call 00EA0000 占5个字节，call (ff15)占6个字节
           d. 如果是jmp (ff25)，要esp+4，想一下就知道原因了:)
        3. 如果是1.b的情况，可能有更邪恶的对下一行的偷代码，我一直没有找到好的方式解决它:(
第三层：恢复所有的寄存器返回"

第二层的第2点（返回地址＋1，esp+4），我没弄明白，请大家指点。
原文链接：
http://bbs.pediy.com/showthread.php?s=&threadid=19313
http://bbs.pediy.com/showthread.php?s=&threadid=23771

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课