文章目录
- 函数栈帧
- 栈
- 寄存器
- 相关汇编指令
- 函数栈帧的创建
- 函数栈帧的销毁
函数栈帧
我们在写C语言代码的时候,经常会把一个独立的功能抽象为函数,所以C程序是以函数为基本单位的。
那函数是如何调用的?函数的返回值又是如何待会的?函数参数是如何传递的?这些问题都和函数栈帧有关系。
函数栈帧就是函数调用过程中在程序的调用栈所开辟的空间,这些空间是用来存放:
- 函数参数和函数返回值
- 临时变量(包括函数的非静态的局部变量以及编译器自动生产的其他临时变量)
- 保存上下文信息(包括在函数调用前后需要保持不变的寄存器)
栈
栈(stack)是现代计算机程序里最为重要的概念之一,几乎每一个程序都使用了栈,没有栈就没有函数,没有局部变量,也就没有我们如今看到的所有的计算机语言。
栈被定义为一种特殊的容器,用户可以将数据压入栈中(入栈,push),也可以将已经压入栈中的数据弹出(出栈,pop),但是栈这个容器必须遵守一条规则:先入栈的数据后出栈(First In Last Out, FIFO)。
在计算机系统中,栈则是一个具有以上属性的动态内存区域。程序可以将数据压入栈中,也可以将数据从栈顶弹出。压栈操作使得栈增大,而弹出操作使得栈减小。
在经典的操作系统中,栈总是向下增长(由高地址向低地址)的。
在我们常见的i386或者x86-64下,栈顶由成为 esp 的寄存器进行定位的
寄存器
- eax:通用寄存器,保留临时数据,常用于返回值
- ebx:通用寄存器,保留临时数据
- ebp:栈底寄存器
- esp:栈顶寄存器
- eip:指令寄存器,保存当前指令的下一条指令的地址
相关汇编指令
- mov:数据转移指令
- push:数据入栈,同时esp栈顶寄存器也要发生改变
- pop:数据弹出至指定位置,同时esp栈顶寄存器也要发生改变
- sub:减法命令
- add:加法命令
- call:函数调用,1. 压入返回地址 2. 转入目标函数
- jump:通过修改eip,转入目标函数,进行调用
- ret:恢复返回地址,压入eip,类似pop eip命令
每一次函数调用,都要为本次函数调用开辟空间,就是函数栈帧的空间
这块空间的维护是使用了2个寄存器: esp 和 ebp , ebp 记录的是栈底的地址, esp 记录的是栈顶的地址
函数栈帧的创建和销毁过程,在不同的编译器上实现的方法大同小异,本次演示以VS2019为例
以下代码作分析:
#include <stdio.h>
int Add(int x, int y)
{
int z = 0;
z = x + y;
return z;
}
int main()
{
int a = 3;
int b = 5;
int ret = 0;
ret = Add(a, b);
printf("%d\n", ret);
return 0;
}
函数栈帧的创建
我们可以清晰的观察到, main 函数调用之前,是由invoke_main 函数来调用main函数。
在 invoke_main 函数之前的函数调用我们就暂时不考虑了
右击鼠标,转到反汇编
从内存中可以清楚地观察,ebp被压入栈中
move指令会把esp的值存放到ebp中,相当于产生了main函数的ebp,这个值就是invoke_main函数栈帧的esp
move指令会把esp的值存放到ebp中,相当于产生了main函数的ebp,这个值就是invoke_main函数栈帧的esp
esp 减去0E4h(228) ,为main函数开辟一块空间
sub会让esp中的地址减去一个16进制数字0xe4,产生新的esp
此时的esp是main函数栈帧的esp,此时结合上一条指令的ebp和当前的esp,ebp和esp之间维护了一个块栈空间,这块栈空间就是为main函数开辟的,就是main函数的栈帧空间
这一段空间中将存储main函数中的局部变量,临时数据已经调试信息等。
将寄存器ebx的值压栈
将寄存器esi的值压栈
将寄存器edi的值压栈
面3条指令保存了3个寄存器的值在栈区,这3个寄存器的在函数随后执行中可能会被修改,所以先保存寄存器原来的值,以便在退出函数时恢复
lea 就是 load effective address,加载有效地址
最后4句,等价于下面的伪代码
edi = ebp-0x24;
ecx = 9;
eax = 0xCCCCCCCC;
for(; ecx = 0; --ecx,edi+=4)
{
*(int*)edi = eax;
}
接下来我们再分析main函数中的核心代码:
将3存储到ebp-8的地址处,ebp-8的位置其实就是a变量
如果不初始化a 变量 , 就会出现“烫”这么一个奇怪的字
是因为main函数调用时,在栈区开辟的空间的其中每一个字节都被初始化为0xCC
而arr数组是一个未初始化的数组,恰好在这块空间上创建的,0xCCCC(两个连续排列的0xCC)的汉字编码就是“烫”,所以0xCCCC被当作文本就是“烫”
将5存储到ebp-14h的地址处,ebp-14h的位置其实是b变量
将0存储到ebp-20h的地址处,ebp-20h的位置其实是ret变量
以上汇编代码表示的变量a,b,ret的创建和初始化,这就是局部的变量的创建和初始化其实是局部变量的创建时在局部变量所在函数的栈帧空间中创建的
传递b,将ebp-14h处放的5放在eax寄存器
将eax的值压栈
传递a,将ebp-8处放的3放在ecx寄存器中
将ecx的值压栈
call 指令是要执行函数调用逻辑的,在执行call指令之前先会把call指令的下一条指令的地址(00E118F7)进行压栈操作,这个操作是为了解决当函数调用结束后要回到call指令的下一条指令的地方,继续往后执行
将main函数栈帧的ebp保存
将main函数的esp赋值给新的ebp,ebp现在是Add函数的ebp
给esp-0xCC,求出Add函数的esp
将ebx的值压栈
将esi的值压栈
将edi的值压栈
将0放在ebp-8的地址处,其实就是创建z
接下来计算的是x+y,结果保存到z中
将ebp+8地址处的数字存储到eax中
将ebp+12地址处的数字加到eax寄存中
将eax的结果保存到ebp-8的地址处,其实就是放到z中
图片中的 a’ 和 b’ 其实就是 Add 函数的形参 x , y 。这里的分析很好的说明了函数的传参过程,以及函数在进行值传递调用的时候,形参其实是实参的一份拷贝。对形参的修改不会影响实参
将ebp-8地址处的值放在eax中,其实就是把z的值存储到eax寄存器中,这里是想通过eax寄存器带回计算的结果,做函数的返回值
函数栈帧的销毁
在栈顶弹出一个值,存放到edi中
在栈顶弹出一个值,存放到esi中
在栈顶弹出一个值,存放到ebx中
再将Add函数的ebp的值赋值给esp,相当于回收了Add函数的栈帧空间
弹出栈顶的值存放到ebp,栈顶此时的值恰好就是main函数的ebp,esp+4,此时恢复了main函数的栈帧维护,esp指向main函数栈帧的栈顶,ebp指向了main函数栈帧的栈底
ret指令的执行,首先是从栈顶弹出一个值,此时栈顶的值就是call指令下一条指令的地址,此时esp+4,然后直接跳转到call指令下一条指令的地址处,继续往下执行
esp直接+8,相当于跳过了main函数中压栈的a’和b’
将eax中的值,存档到ebp-0x20的地址处,其实就是存储到main函数中ret变量中,而此时eax中就是Add函数中计算的x和y的和,可以看出来,本次函数的返回值是由eax寄存器带回来的。程序是在函数调用返回之后,在eax中去读取返回值的
其实返回对象时内置类型时,一般都是通过寄存器来带回返回值的
返回对象如果时较大的对象时,
一般会在主调函数的栈帧中开辟一块空间,然后把这块空间的地址,隐式传递给被调函数,在被调函数中通过地址找到主调函数中预留的空间,将返回值直接保存到主调函数的
如果你觉得这篇文章对你有帮助,不妨动动手指给点赞收藏加转发,给鄃鳕一个大大的关注
你们的每一次支持都将转化为我前进的动力!!!
