文章目录
前言: 函数栈帧是对底层一点基础理解,以下是个人学习的总结,希望对你有帮助。
一、什么是函数栈帧
比如我们在C语言中的学习中,都会创建一个main函数以及其他拥有独立功能的函数。
在这个函数调用过程中,内存中会有一块区域,用来实现程序的函数调用里的功能,这块区域我们可以叫函数栈(或调用栈)。每个未退出的函数都会在函数栈(或调用栈)开辟一块数据区,就是函数栈帧。
接下来在VS2019的环境下主要通过反汇编观察在函数调用时,函数栈发生了什么,从而了解到函数栈帧的创建和销毁。
不过在此前先让我们认识下一些概念。
二、ESP、EBP、栈的概念
1、栈的概念
栈是一种先入后出(或是后入先出)的结构,通常入栈(push)和出栈(pop)操作的一端称为栈顶,另一端称为栈底。
可以形象的理解为"一堆书",每次入栈就是再添加一本书在最上面,这个时候高度top也会+1。
而在计算机中,栈则是一个具有以上属性的动态内存区域。程序可以将数据压入栈中,也可以将数据
从栈顶弹出。压栈操作使得栈增大,而弹出操作使得栈减小。
并且在压数据入栈时,是先从高地址开始压,再向低地址的。
2、ESP和EBP
- esp 栈指针寄存器(extended stack pointer),其中存放着一个指针,该指针记录着栈顶的地址。
- ebp 基址指针寄存器(extended base pointer),其中存放着一个指针,该指针记录着栈底的地址。
3、认识汇编指令和其他寄存器
其他寄存器:
- eax:通用寄存器,保留临时数据,常用于返回值
- ebx:通用寄存器,保留临时数据
- eip:指令寄存器,保存当前指令的下一条指令的地址
汇编指令:
- mov:数据转移指令
- push:数据入栈,同时esp栈顶寄存器也要发生改变
- pop:数据弹出至指定位置,同时esp栈顶寄存器也要发生改变
- sub:减法命令
- add:加法命令
- call:函数调用,1. 栈中压入返回地址 2. 转入目标函数
- jump:通过修改eip,转入目标函数,进行调用
- ret:恢复返回地址,压入eip,类似pop eip命令(回到原来call时栈中压入的地址,并且会pop栈中这个地址)
三、通过编译器了解栈帧的创建和销毁
1、函数的调用堆栈
接下来我们通过这段代码在VS2019进行演示。
#include<stdio.h>
int Add(int x, int y) {
int z = 0;
z = x + y;
return z;
}
int main() {
int a = 10;
int b = 20;
int c = 0;
c = Add(a, b);
printf("%d", c);
return 0;
}
首先通过F11调用,从main函数开始调用,然后在调试窗口中找到调用堆栈。
这个时候我们可以看到调用堆栈窗口的出现
通过双击 function.exe!invoke_main()
我们可以清晰的看到,原来在main是由invoke_main 函数调用的。
那我们可以确定, invoke_main 函数应该会有自己的栈帧, main 函数和 Add 函数也会维护自己的栈
帧,每个函数栈帧都有自己的 ebp 和 esp 来维护栈帧空间。
2、准备环境和反汇编
首先为了方便观察反汇编代码,关闭以下选项,减少干扰。
在调用状态下,进入反汇编
3、转到反汇编
首先鼠标右键关闭 显示符号名 这也是为了我们更好的观察代码
(1)为main函数创建栈帧
在之前,我们知道了main函数是被函数invoke_main调用的,
所以此时我们可以这样理解,在刚进入main函数中,函数栈中esp和ebp已经为函数invoke_main创建了一个栈帧空间。而在监视窗口中通过地址可以看出esp所在的是低地址,ebp所在的是高地址
而通过 push ebp 操作后 在原来的栈空间上压栈了一个ebp的地址内容
此时esp将改变指向位置,指向当前栈顶。 此时ebp的地址存在esp当前指向的位置
接下来通过mov操作,将esp赋值给ebp,esp和ebp都是原来esp的值。
(要知道在这之前保存了原来ebp指向的地址)
通过让esp和ebp指向同一位置(图中右边地址一样),为接下来的栈帧开辟做好了准备
而通过 sub esp,0E4h 让esp的指向地址减去E4个值
这时所开辟的这一块E4数量的空间就是main函数的栈帧
接下来push三个寄存器的值,为了保留临时数据,同时也改变了esp的指向位置
而lea(load effective address)将ebp-24h位置的地址存到edi中。
将9存入ecx中,将0CCCCCCCCh存入eax中。
最后一句的意思是,将从edp-0x24h到ebp这一段的内存的每个字节都初始化为0CCCCCCCCh。
此时内存为这样
在ebp-8的位置存入10 在ebp-14的位置存入20 在ebp-20的位置存入0
(2)进入其他函数创建栈帧
在进入Add函数前,先将ebp-14位置的20和ebp-8位置的10分别传给了eax、ecx,并且压入了栈
这像不像函数的传参,我们先再往下看
call指令,访问002110B4地址,再会压栈一个call指令下一条指令的地址(也就是0021185D),记录返回后访问的地址。
下面进入Add函数的调用:
还是一样通过记录起始的ebp地址(这是记录的是一开始建立main栈帧时ebp指向的地址),然后让esp赋值给ebp,改变ebp,再开辟CC个内存大小建立Add的函数栈帧,再向栈push三个用于储存值
每条对应的是:
将0移向ebp-8的位置。
将ebp+8位置的值储存在eax中(10)。
将ebp+0C位置的值加入eax中(20加入为30)。
再将eax中的值传入ebp-8位置。
再将ebp-8位置的值传入eax中。
从这也可以看出:再Add里调用的变量是在Add函数栈帧外的,这也很好的说明,函数形参是实参的临时拷贝。
(3)销毁Add函数栈帧
先出栈edi,esi,ebx的值,再将ebp赋值给esp,这样函数Add的栈帧就销毁了。 再pop
ebp,弹出原来ebp-main存的地址,这样ebp就可以指向原来的main的ebp地址 最后ret,返回到0021185D地址,再出栈。
此时esp和ebp与调用Add函数前的指向是相同的。
call地址返回地址0021185D,以后esp+8,又销毁两个值。
再将eax储存的30,移到ebp-20位置。
到这里,我们来总结一下
4、总结几个问题
-
局部变量是如何创建的?
通过ebp内存访问,储存在函数栈帧中。
-
为什么局部变量不初始化内容是随机的或者是"烫"?
因为在创建函数栈帧的时候,中间的地址的值都是不确定的,而如果访问一个未初始化的变量,指向这些不确定的值,就是随机值。
而初始化为0CCCCCCCCh时,有时遇到烫,因为0xCCCC(两个连续排列的0xCC)的汉字编码就是“烫”,所以0xCCCC被当作文本就是“烫”。 -
函数调用时参数时如何传递的?传参的顺序是怎样的?
从创建局部变量的函数(比如main函数)栈帧中通过内存访问,储存在eax和ecx中再入栈(相当于临时拷贝,因为之后会出栈)。传参的顺序先访问低地址的(20),再访问高地址的(10)。 -
函数的形参和实参分别是怎样实例化的?
实参是在函数栈帧里通过ebp内存访问储存的值。形参是由ebp内存访问将栈中储存的临时变量。 -
函数的返回值是如何带回的?
如Add函数中通过将在寄存器(eax)中相加得到的30,在移入Add函数栈帧中c=0的地址位置,再将这个地址位置的值传给eax,在销毁Add函数栈帧后,将eax中的值传给main函数栈帧中创建的c=0地址位置。