Allora, sto cercando di fare in assembly un un .com che mi permetta di attaccarsi in fondo ad un altro .com e dopo essere stato eseguito ripassi il controllo al file .com al quale si è attaccato. Si, lo so, è quello che fanno i virus più comuni, ma io ne sto facendo uno per l'esame di università, quindi niente di distruttivo.
Ho trovato qua e la diverse guide molto ben fatte, ma un forte dubbio mi è rimasto su di un comando che forse non è spiegato al meglio; è questo:

call get_offset ;
get_offset:
pop bp
sub bp,offset get_offset
lea si,[bp+wherever]

Il miei dubbi sono i seguenti:
1) quel call dovrebbe servire a chiamare una procedura e quindi salvare nello stack l'offset dell'istruzione sucessiva (giusto?), che nel nostro caso sarebbe di nuovo la get_offset o sarebbe l'istruzione del programma .com a cui si è attaccato? Cioè tra call get_offset e get_offset: ci stà il programma attaccato???
2) poi qui si fa un pop di bp per estrarre l'offset salvato dal call? Giusto? Ma l'offset proprio dello stack non sarebbe l' SP? Ho letto che bp e sp hanno lo stesso compito in teoria, ma vanno o non vanno di pari passo? Cioè cambiano entrambi il loro valore allo stesso momento? A quanto vedo col debug sembra di no (sp sta a fffx, mentre bp è sempre 0)
3)e poi ultima domanda per quanto riguarda queste istruzioni: in teoria facendo il pop di bp ottengo l'offset di ciò che sta dopo la call e quindi un offset dell'inizio del programma (mettiamo un numero a caso... 0105h), mentre l'offset di get_offset dovrebbe stare alla fine del .com originale e quindi essere tipo 0120h. Ora perché si sottrae get_offset a bp (e quindi 0105h-0120h) invece del contrario per sapere dove si troveranno gli indirizzi delle istruzioni del "virus"?

Poi vabbeh, ho tante altre domande sul dta e altre cosette, ma sarei contento di capire già bene sta cosa qua.

Vi ringrazio anticipatamente.

BP e SP non vanno avanti di pari passo, BP solitamente si fa puntare alla base dello stack locale...mentre SP punta al primo indirizzo libero dello stack...

Il valore di BP va cambiato a mano...il valore di SP viene aggiornato da PUSH (decremento) e POP (incremento)...

Solitamente quando si entra in una subroutine (dopo una CALL) si fa un'operazione del genere:

push bp
mov bp, sp

Questo serve a determinare il nuovo valore di bp che punterà al primo indirizzo utilizzabile nello stack locale alla subroutine...ovviamente dopo dovrà essere ripristinato (tramite una LEAVE o a mano)...e serve per evitare di sporcare lo stack precedente alla chiamata della subroutine...

La CALL NEAR non fa altro che fare un PUSH della posizione dell'istruzione successiva alla CALL e assegnare a IP il valore dell'indirizzo a cui si vuole saltare (in questo caso get_offset che è in pratica l'indirizzo dell'istruzione "pop bp")...
Quando fa "pop bp" va a mettere in bp l'indirizzo di ritorno inserito nello stack dalla CALL...

sub bp,offset get_offset

Questa istruzione toglie da l'offset di get_offset...

In pratica supponendo queste posizioni:

0100H CALL 1100H
0104H ... ;supponendo che la CALL occupi 4 byte
...
...
1100H POP BP ;<--in BP ci va 0104H
110xH SUB BP, 1100H ;<--in BP ci rimane -0FFCH che è la distanza fra la CALL e il punto di salto !!!

Intanto grazie mille!
Ma quindi alla fin fine sottraendo da bp l'offset di get_offset ottendo qualcosa di negativo? O ho capito male? Nel tuo esempio sarebbe 0104h-1100h? E se è così, si potrebbe anche salvare in un registro l'offset di get_offset e poi sottrarne il bp così da ottenere un valore positivo? Con un valore negativo non ci dovrebbero essere problemi ugualmente? E poi tutta sta cosa si potrebbe anche fare "semplicemente" leggendo la lunghezza del file dal dta e sommargli 0100h che è da dove è partito il file .com, o sbaglio? Cioè dovrei pensarci un bel po' su per farlo :D , ma come idea potrebbe starci?
Comunque per il resto mi hai chiarito tutto! Grazie ancora.

Il fatto che la differenza sia negativa non dovrebbe essere un problema...