函数栈帧的创建和销毁

前言: 函数栈帧是对底层一点基础理解，以下是个人学习的总结，希望对你有帮助。

一、什么是函数栈帧

 
 比如我们在C语言中的学习中，都会创建一个main函数以及其他拥有独立功能的函数。
 在这个函数调用过程中，内存中会有一块区域，用来实现程序的函数调用里的功能，这块区域我们可以叫函数栈（或调用栈）。每个未退出的函数都会在函数栈（或调用栈）开辟一块数据区，就是函数栈帧。
 
 接下来在VS2019的环境下主要通过反汇编观察在函数调用时，函数栈发生了什么，从而了解到函数栈帧的创建和销毁。
 
 不过在此前先让我们认识下一些概念。

二、ESP、EBP、栈的概念

 1、栈的概念

 栈是一种先入后出（或是后入先出）的结构，通常入栈（push）和出栈（pop）操作的一端称为栈顶，另一端称为栈底。
 
 可以形象的理解为"一堆书"，每次入栈就是再添加一本书在最上面，这个时候高度top也会+1。
 
 而在计算机中，栈则是一个具有以上属性的动态内存区域。程序可以将数据压入栈中，也可以将数据
从栈顶弹出。压栈操作使得栈增大，而弹出操作使得栈减小。
 并且在压数据入栈时，是先从高地址开始压，再向低地址的。
 

 2、ESP和EBP

• esp 栈指针寄存器(extended stack pointer)，其中存放着一个指针，该指针记录着栈顶的地址。
• ebp 基址指针寄存器(extended base pointer)，其中存放着一个指针，该指针记录着栈底的地址。

 

 3、认识汇编指令和其他寄存器

其他寄存器：

• eax：通用寄存器，保留临时数据，常用于返回值
• ebx：通用寄存器，保留临时数据
• eip：指令寄存器，保存当前指令的下一条指令的地址

---

汇编指令：

• mov：数据转移指令
• push：数据入栈，同时esp栈顶寄存器也要发生改变
• pop：数据弹出至指定位置，同时esp栈顶寄存器也要发生改变
• sub：减法命令
• add：加法命令
• call：函数调用，1. 栈中压入返回地址 2. 转入目标函数
• jump：通过修改eip，转入目标函数，进行调用
• ret：恢复返回地址，压入eip，类似pop eip命令（回到原来call时栈中压入的地址，并且会pop栈中这个地址）

 
 

三、通过编译器了解栈帧的创建和销毁

 1、函数的调用堆栈

接下来我们通过这段代码在VS2019进行演示。

#include<stdio.h>

int Add(int x, int y) {
	int z = 0;
	z = x + y;
	return z;
}

int main() {
	int a = 10;
	int b = 20;
	int c = 0;
	c = Add(a, b);
	printf("%d", c);
	return 0;
}

首先通过F11调用，从main函数开始调用，然后在调试窗口中找到调用堆栈。

这个时候我们可以看到调用堆栈窗口的出现
通过双击 function.exe!invoke_main()

我们可以清晰的看到，原来在main是由invoke_main 函数调用的。

那我们可以确定， invoke_main 函数应该会有自己的栈帧， main 函数和 Add 函数也会维护自己的栈
帧，每个函数栈帧都有自己的 ebp 和 esp 来维护栈帧空间。

 

 2、准备环境和反汇编

首先为了方便观察反汇编代码，关闭以下选项，减少干扰。

在调用状态下，进入反汇编

 

 3、转到反汇编

首先鼠标右键关闭 显示符号名 这也是为了我们更好的观察代码

 （1）为main函数创建栈帧

在之前，我们知道了main函数是被函数invoke_main调用的，
所以此时我们可以这样理解，在刚进入main函数中，函数栈中esp和ebp已经为函数invoke_main创建了一个栈帧空间。

而在监视窗口中通过地址可以看出esp所在的是低地址，ebp所在的是高地址

而通过 push ebp 操作后 在原来的栈空间上压栈了一个ebp的地址内容

此时esp将改变指向位置，指向当前栈顶。 此时ebp的地址存在esp当前指向的位置

接下来通过mov操作，将esp赋值给ebp，esp和ebp都是原来esp的值。
（要知道在这之前保存了原来ebp指向的地址）
通过让esp和ebp指向同一位置（图中右边地址一样），为接下来的栈帧开辟做好了准备

而通过 sub esp,0E4h 让esp的指向地址减去E4个值

这时所开辟的这一块E4数量的空间就是main函数的栈帧

接下来push三个寄存器的值，为了保留临时数据，同时也改变了esp的指向位置

而lea（load effective address）将ebp-24h位置的地址存到edi中。
将9存入ecx中，将0CCCCCCCCh存入eax中。
最后一句的意思是，将从edp-0x24h到ebp这一段的内存的每个字节都初始化为0CCCCCCCCh。

此时内存为这样

在ebp-8的位置存入10 在ebp-14的位置存入20 在ebp-20的位置存入0

 

 （2）进入其他函数创建栈帧

在进入Add函数前，先将ebp-14位置的20和ebp-8位置的10分别传给了eax、ecx，并且压入了栈

这像不像函数的传参，我们先再往下看

call指令，访问002110B4地址，再会压栈一个call指令下一条指令的地址（也就是0021185D），记录返回后访问的地址。

下面进入Add函数的调用：

还是一样通过记录起始的ebp地址（这是记录的是一开始建立main栈帧时ebp指向的地址），然后让esp赋值给ebp，改变ebp，再开辟CC个内存大小建立Add的函数栈帧，再向栈push三个用于储存值

每条对应的是：

将0移向ebp-8的位置。
将ebp+8位置的值储存在eax中（10）。
将ebp+0C位置的值加入eax中（20加入为30）。
再将eax中的值传入ebp-8位置。
再将ebp-8位置的值传入eax中。
 
 
从这也可以看出：再Add里调用的变量是在Add函数栈帧外的，这也很好的说明，函数形参是实参的临时拷贝。

 

 （3）销毁Add函数栈帧

先出栈edi,esi,ebx的值，再将ebp赋值给esp，这样函数Add的栈帧就销毁了。 再pop
ebp，弹出原来ebp-main存的地址，这样ebp就可以指向原来的main的ebp地址 最后ret，返回到0021185D地址，再出栈。
 
此时esp和ebp与调用Add函数前的指向是相同的。

call地址返回地址0021185D，以后esp+8，又销毁两个值。
再将eax储存的30，移到ebp-20位置。

到这里，我们来总结一下

4、总结几个问题

• 局部变量是如何创建的？

  通过ebp内存访问，储存在函数栈帧中。

• 为什么局部变量不初始化内容是随机的或者是"烫"？

  因为在创建函数栈帧的时候，中间的地址的值都是不确定的，而如果访问一个未初始化的变量，指向这些不确定的值，就是随机值。
  而初始化为0CCCCCCCCh时，有时遇到烫，因为0xCCCC（两个连续排列的0xCC）的汉字编码就是“烫”，所以0xCCCC被当作文本就是“烫”。

• 函数调用时参数时如何传递的？传参的顺序是怎样的？
  从创建局部变量的函数（比如main函数）栈帧中通过内存访问，储存在eax和ecx中再入栈（相当于临时拷贝，因为之后会出栈）。传参的顺序先访问低地址的（20），再访问高地址的（10）。

• 函数的形参和实参分别是怎样实例化的？
  实参是在函数栈帧里通过ebp内存访问储存的值。形参是由ebp内存访问将栈中储存的临时变量。

• 函数的返回值是如何带回的？
  如Add函数中通过将在寄存器（eax）中相加得到的30，在移入Add函数栈帧中c=0的地址位置，再将这个地址位置的值传给eax，在销毁Add函数栈帧后，将eax中的值传给main函数栈帧中创建的c=0地址位置。