在 linux_x86_64（即 64 位 Linux 系统上的 x86-64 架构）下，函数调用约定（Calling Convention）定义了函数调用时参数传递、返回值传递、寄存器使用、栈帧的构建等方面的规则。这些约定在不同的操作系统和架构上可能有所不同。在 Linux 上的 x86-64 架构中，遵循的主要是 System V ABI (Application Binary Interface)，这是一种广泛使用的应用二进制接口。

1. 参数传递

在 x86_64 架构下，函数参数的传递遵循以下规则：

• 前 6 个整数参数（包括 int、char、long 等）通过 寄存器 传递：
  • RDI：第一个参数
  • RSI：第二个参数
  • RDX：第三个参数
  • RCX：第四个参数
  • R8：第五个参数
  • R9：第六个参数
• 额外的参数（超过 6 个参数）通过 栈 传递。
  • 这些参数从栈中读取，栈的增长方向是向下（地址减小）。

2. 浮点参数传递

浮点数参数（如 float、double）通过 SSE 寄存器 传递：

• 前 8 个浮点数参数（float 和 double）使用 XMM 寄存器传递，按顺序依次存放：
  • XMM0：第一个浮点数参数
  • XMM1：第二个浮点数参数
  • …
  • XMM7：第八个浮点数参数

如果函数的参数超过了这些寄存器的数量，剩余的浮点数参数会通过栈传递。

3. 返回值传递

• 整数返回值：函数返回值通常通过 RAX 寄存器返回。RAX 会保存返回值。
• 浮点返回值：如果函数返回的是浮点数值（如 float 或 double），则使用 XMM0 寄存器来存储返回值。

4. 栈帧和栈的使用

• 在每个函数调用时，调用者 会将其参数（如果超出 6 个整数或 8 个浮点数）压入栈中。
• 被调用者 负责保存其用到的寄存器，尤其是那些它会修改的寄存器（例如，RBX、R12 到 R15 寄存器是被调用者保存的寄存器）。
• 调用者和被调用者通过约定保持栈平衡，确保栈在函数返回时是正确的。

5. 寄存器的使用约定

• RAX：返回值寄存器。函数的返回值通过此寄存器传递。
• RCX、RDX、R8、R9：用于传递函数参数（前 6 个整数参数中，RDI 到 R9 使用这 5 个寄存器）。
• R10-R15：这些寄存器是临时寄存器，调用者需要保证它们的值。如果调用函数不需要修改这些寄存器，调用者可以利用这些寄存器。
• RBX、RBP、R12-R15：这些寄存器是被调用者保存的寄存器，如果一个函数要修改这些寄存器，必须在返回之前恢复它们的值。

6. 栈对齐

在 x86_64 架构下，栈必须 按 16 字节对齐。这意味着每次函数调用时，栈指针 (rsp) 必须是 16 的倍数。为此，调用者在调用之前可能需要调整栈指针，确保栈对齐。这个对齐要求对于向内存中传递参数（特别是浮点数参数）非常重要。

7. 调用和返回过程

函数调用：

1. 参数传递：首先，将前 6 个参数传递到相应的寄存器中，如果有更多参数，调用者会将它们压入栈中。
2. 保存寄存器：调用者保存需要保留的寄存器（如 RBX、R12 到 R15）和栈帧。
3. 跳转到被调用函数：执行函数调用指令（如 call），跳转到被调用函数。
4. 栈帧建立：被调用函数建立自己的栈帧，保存必要的寄存器（如 RBX、R12 到 R15）。
5. 执行函数体：函数体开始执行。

函数返回：

1. 返回值传递：被调用函数将返回值放入 RAX 或 XMM0（浮点数）。
2. 恢复寄存器：被调用函数恢复调用时保存的寄存器，确保返回时栈平衡。
3. 跳转返回：被调用函数执行 ret 指令，跳回调用者处。

8. 总结：

在 x86_64 架构下的 Linux 系统中，函数调用约定的关键要点如下：

• 前 6 个整数参数通过 寄存器（RDI 到 R9）传递。
• 前 8 个浮点数参数通过 SSE 寄存器（XMM0 到 XMM7）传递。
• 如果参数超过了这些数量，剩余的参数通过 栈 传递。
• 返回值：整数通过 RAX 返回，浮点数通过 XMM0 返回。
• 栈对齐：栈必须按 16 字节对齐。
• 寄存器使用：有些寄存器是调用者保存的（如 RBX、R12 到 R15），而有些是被调用者保存的（如 RBP）。

syscall

在 x64 架构下，syscall 是用来触发系统调用的指令。x64 系统调用遵循特定的约定来传递参数和执行操作，这些约定包括通过寄存器传递参数和选择系统调用编号。

x64 系统调用约定

在 x64 架构下，系统调用的参数会通过以下寄存器传递：

• rax: 系统调用号（syscall number）
• rdi: 第一个参数
• rsi: 第二个参数
• rdx: 第三个参数
• r10: 第四个参数
• r8: 第五个参数
• r9: 第六个参数

syscall 指令通过 rax 寄存器来指定调用的系统调用编号，rdi, rsi, rdx 等寄存器则用来传递参数。

1. 一个简单的 x64 syscall 示例

假设我们想执行 exit 系统调用（调用号 60），并返回一个退出代码。我们需要将 60 放入 rax 寄存器，将退出码放入 rdi 寄存器。

mov rax, 60         ; 系统调用号 (60: exit)
mov rdi, 0          ; 退出码 0
syscall             ; 调用系统调用

• rax = 60：表示调用 exit 系统调用。
• rdi = 0：表示传递的参数（退出码 0）。
• syscall：触发系统调用。

2. 更复杂的系统调用：execve

另一个常见的系统调用是 execve（执行一个程序）。execve 的系统调用号是 59，它需要三个参数：

• rdi: 程序路径
• rsi: 参数数组（argv）
• rdx: 环境变量数组（envp）

例如，要执行 /bin/sh 并传递一个空的参数和环境变量列表，我们可以构建以下汇编代码：

section .data
    sh_path db '/bin/sh', 0        ; 程序路径
    argv db '/bin/sh', 0           ; 参数数组，只有一个元素（路径本身）
    envp db 0                      ; 环境变量数组（空）

section .text
    global _start

_start:
    ; 设置 execve 参数
    mov rax, 59         ; 系统调用号 (59: execve)
    mov rdi, sh_path    ; 将程序路径 '/bin/sh' 传递给 rdi
    mov rsi, argv       ; 将参数数组传递给 rsi
    mov rdx, envp       ; 将环境变量数组传递给 rdx
    syscall             ; 执行系统调用

3. 关于系统调用号

不同的操作系统和架构有不同的系统调用号。例如，在 Linux x64 上，常见的系统调用号包括：

系统调用	系统调用号 (rax)
exit	60
execve	59
read	0
write	1
open	2
close	3

你可以查阅相关文档（如 Linux 系统调用表）来找到系统调用号。

4. 组合 syscall 和 shellcraft

pwntools 的 shellcraft 模块可以帮助你快速生成包含系统调用的汇编代码。如果你在进行漏洞利用，通常会使用这个模块来生成 syscall 相关的汇编代码。例如，如果你想执行 execve("/bin/sh")，可以使用 pwntools 来生成汇编代码：

from pwn import *

context(arch='amd64', os='linux')

# 生成 execve("/bin/sh") 系统调用的 shellcode
shellcode = shellcraft.execve('/bin/sh')

# 查看汇编代码
print(shellcode)

# 查看机器码
print(asm(shellcode))

生成的汇编代码会自动处理传递参数并触发系统调用。

5. 总结

• syscall 是用来触发系统调用的指令。
• 在 x64 架构下，系统调用号存储在 rax 寄存器，其他参数存储在 rdi, rsi, rdx, r10, r8, r9 寄存器中。
• 常见的系统调用如 exit, execve 都需要使用 syscall 指令来触发。

通过这些汇编技巧，你可以构建各种系统调用来与操作系统交互，执行文件、操作文件描述符、获取系统信息等。在进行漏洞利用时，理解系统调用是很重要的，因为它们提供了和操作系统进行交互的基本方式。