探究C语言函数栈帧的创建和销毁

引言

在C语言程序中，每当一个函数被调用时，系统都会在栈上为该函数分配一块内存空间，这块内存空间就被称为栈帧。

栈帧中包含了函数执行所需的所有信息，如局部变量、参数、返回地址等。栈帧的创建和销毁是函数调用的核心部分，它们确保了函数能够正确地执行和返回。

本文将在VS2013环境下，通过实践操作，对比较简单的C语言程序进行调试的基础上，对C语言函数栈帧的创建和销毁过程进行详细的论述，并探讨函数中局部变量的创建、参数的传递、形参的引用以及返回值等过程。

一、概念

我们在写c语言程序时，通常会把独立的功能封装为一个个函数，所以C语言程序是以函数为基本单位的。而函数的传参、调用和返回值等问题都和函数栈帧有关。

1.栈

栈是一个线性数据结构，遵循先进后出的规则，可将数据从栈顶压入，也可将数据从栈顶弹出。在windows操作系统中，栈是由高地址向低地址使用的。

2.函数栈帧

每一个函数调用，都要在栈区上开辟一块空间，这块空间就是函数栈帧。

这块空间用来存放：

（1）函数参数和返回值；

（2）局部变量；

（3）保存上下文信息。

3.寄存器

（1）eax：通用寄存器，保留临时数据，常用于返回值；

（2）ebx：通用寄存器，保留临时数据；

（3）ebp：栈底寄存器；

（4）esp：栈顶寄存器；

（5）eip：指令寄存器，保存当前指令的下一条指令的地址。

ebp和esp是维护函数栈帧的两个寄存器，哪个函数被调用，它们就指向哪个函数的栈帧空间进行维护，来标识哪个函数正在被使用，为对这个函数的操作提供支持。

4.汇编命令

（1）mov：数据转移指令；

（2）push：数据入栈；

（3）pop：数据弹出至指定位置；

（4）sub：减法命令；

（5）add：加法命令；

（6）call：函数调用，压入返回地址，转入目标函数；

（7）jump：通过修改eip，转入目标函数，进行调用；

（8）ret：恢复返回地址。

5.使用的C程序

二、main函数的运行

1.main函数被调用过程

main函数并不是最初被程序调用的函数，main函数也是通过被其他函数调用而被使用的。调用main函数的具体过程，是由编译器决定的。

main函数由__tmainCRTstartup函数调用，而__tmainCRTstartup函数又由mainCRTstartup函数调用。

在栈区内存中，空间是由高地址向低地址使用的，所以程序开始运行后，mainCRTstartup函数先在较高地址处创建栈帧，然后调用__tmainCRTstartup函数并创建栈帧，最后再调用main函数并为其创建相应的栈帧空间。

2.main函数栈帧的创建

main函数在运行时也会在栈区内存上开辟一块空间，这个空间由ebp和esp两个寄存器来维护。ebp指向栈底的较高地址，esp指向栈顶的较低地址，两个寄存器记录的地址之间就是内存划分给main函数，供main函数使用调配的空间。

可以经过反编译，得到main函数栈帧创建的汇编代码:

为main函数创建栈帧的时候，ebp和esp正在维护__tmainCRTstartup函数创建的栈帧。

为main函数创建栈帧的过程如下：

（1）00C21410 push ebp

push指令进行压栈，把ebp中的地址压入栈顶，此时维护栈顶的指针esp值减小4，把刚刚压入的元素纳入__tmainCRTstartup函数的栈帧空间；

（2）00C21411 mov ebp,esp

mov指令将栈底指针移动到栈顶；

（3）00C21423 sub esp,0E4h

sub指令让esp中的值减去一个数，来到更低地址的位置，此时esp和ebp两个寄存器就离开了原先__tmainCRTstartup函数的栈帧空间，指向了一块新的栈区空间，这块空间就是为main函数预申请的栈帧空间；

（4）00C21419 push ebx

00C2141A push esi

00C2141B push edi

push指令将ebx、esi、edi的值压入栈；

（5）00C2141C lea edi,[ebp+FFFFFF1Ch]

lea指令把ebp-0E4h加载进edi中，这其实就是压入ebx、esi、edi三个元素前esp的地址；

（6）00C21422 mov ecx,39h

00C21427 mov eax,0CCCCCCCCh

mov指令将39h、0CCCCCCCCh两个值分别放入ecx和eax两个寄存器当中；

（7）00C2142C rep stos dword ptr es:[edi]

rep stos指令，在这里是将从edi中的地址开始，向下39h次，每次改变dword（4个字节）的空间，全部改为eax的值，这个操作把为main函数开辟的栈帧空间中的值全部初始化为cccccccc（每4个字节）。

3.main函数中局部变量的创建

（1）00C2142E mov dword ptr [ebp-8],0Ah

00C21435 mov dword ptr [ebp-14h],14h

00C2143C mov dword ptr [ebp-20h],0

mov指令将值10放入ebp-8的位置，创建了整型变量a；将值20放入ebp-14h的位置，创建了整型变量b；将值0放入ebp-20h的位置，创建了整型变量c.

注意到整型变量a创建在ebp-8的位置上，而随后的整型变量b创建在ebp-14h（ebp-20）的位置上，之间相隔8个字节，共2个整型的空间，这就是平时我们会观察到，前后紧邻创建的两个变量，在内存空间上却并不是紧邻的根本原因。

在代码中因为越界或其他因素访问到没有被初值初始化的内存空间，打印出随机值时，经常出现烫烫烫烫的字样，就是因为函数栈帧中初始存放的值是cccccccc（4个字节），这些值在打印的时候被译为烫烫烫烫。

4.main函数中为Add函数传参

（1）00C21443 mov eax,dword ptr [ebp-14h]

00C21446 push eax

00C21447 mov ecx,dword ptr [ebp-8]

00C2144A push ecx

mov和push指令在这里把ebp-14h中的值20，也就是整型变量b的值，放入到了寄存器eax中，然后压入栈顶，把栈顶指针减少；之后又把ebp-8中的值10，也就是整型变量a中的值放入了寄存器ecx中，然后压入栈顶，把栈顶指针减少。这两步操作其实就是在传参，把main函数中实参部分，整型变量a和整型变量b的值，传递给Add函数中的形参整型变量x和整型变量y，也就是说，这里的寄存器eax和ecx就相当于放着整型变量x和整型变量y。

另外从这个传参过程中也可以很清楚的看到，函数参数的传递是从右向左进行的的，先传递的整型变量b，再传递的整型变量a。