十、函数栈帧的创建和销毁

最新推荐文章于 2024-11-02 23:48:09 发布

HackerKevn

最新推荐文章于 2024-11-02 23:48:09 发布

阅读量102

点赞数 9

分类专栏： C语言笔记文章标签： c语言笔记

本文链接：https://blog.csdn.net/HackerKevon/article/details/132266295

版权

C语言笔记专栏收录该内容

21 篇文章 0 订阅

订阅专栏

1 栈

栈（stack）是现代计算机程序里最为重要的概念之一，几乎每一个程序都使用了栈，没有栈就没有函数，没有局部变量，也就没有如今的计算机语言。

在经典的计算机科学中，栈被定义为一种特殊的容器，用户可以将数组压入栈中（入栈，push），也可以将已经压入栈的数据弹出（出栈，pop）。但是栈这个容易必须遵守一条规则：先入栈的数据后出栈（First In Last Out，FILO）

在计算机系统中，栈则是一个具有上述属性的动态内存区域。程序可以将数据压入栈中，也可以将数据从栈顶弹出。压栈操作使得栈增大，而弹出操作使得栈减小。

在经典的操作系统中，栈总是向下增长（有高地址向低地址）的。

2 相关寄存器和汇编指令

2.1 相关寄存器

eax：通用寄存器，保留临时数据，常用于返回值
ebx：通用寄存器，保留临时数据
ebp：栈底寄存器
esp：栈顶寄存器
eip：指令寄存器，保存当前指令的下一条指令的地址

2.2 相关汇编指令

mov ：数据转移指令
push：数据入栈，同时esp栈顶寄存器也要发生改变
pop ：数据弹出至指定位置，同时esp栈顶寄存器也要发生改变
sub ：减法命令
add ：加法命令
call：函数调用，1. 压入返回地址 2. 转入目标函数
jump：通过修改eip，转入目标函数，进行调用
ret ：恢复返回地址，压入eip，类似pop eip命令

3 函数栈帧

函数栈帧（stack frame）就是函数调用过程中在程序的调用栈（call stack）所开辟的空间，这些空间用来存放：

• 函数参数和函数返回值

• 临时变量（包括函数非静态的局部变量以及编译器自动产生的其他临时变量）

• 上下文信息（包括在函数调用前后需要保持不变的寄存器）

我们在写C语言代码的时候，经常会把一个独立的功能抽象为函数，所以C语言的程序是以函数为基本单位的。这其中就涉及到一些问题，比如：

• 函数是如何调用的？

• 函数的返回值是如何带回的？

• 函数参数是如何传递的？

• 局部变量是如何创建的？

• 为什么局部变量未经初始化的内容是随机的？

这些问题都和函数栈帧有关系。

4 解析函数栈帧的创建和销毁

4.1 预备知识

理解函数栈帧的创建和销毁前，需要知道以下3个预备知识：

每一次函数调用，都要为本次函数调用开辟空间，即函数栈帧的空间。
函数栈帧空间的维护需要两个寄存器：esp 和 ebp，其中 ebp 记录栈底的位置，esp记录栈顶的位置，如图所示：
在不同的编译器下，函数调用过程中栈帧的创建时略有差异，具体细节取决于编译器的实现，本次演示以VS2019为例。

4.2 准备环境

为了让研究函数栈帧的过程足够清晰，可以按照以下步骤关闭下面的选项，让汇编代码中排除一些编译器的附加代码。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cIWpkCWk-1691935479323)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813115911781.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SjppNuAd-1691935479323)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813120202731.png)]$

4.3 函数的调用堆栈

演示代码：

#include <stdio.h>
int Add(int x, int y)
{
	int z = 0;
	z = x + y;
	return z;
}
int main()
{
	int a = 3;
	int b = 5;
	int ret = 0;
	ret = Add(a, b);
	printf("%d\n", ret);
	return 0;
}

调试后按如下操作打开【调用堆栈】并【显示外部代码】。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bt6NAMuW-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813155359111.png)]$

函数调用堆栈用来反馈函数调用逻辑，现在可以清晰地观察到，main 函数调用之前，是由 invoke_main 函数来调用 main 函数，实际上 invoke_main 函数也会有别的函数对它进行调用，这里就暂不考虑了。那么 invoke_main 函数应该也有自己的栈帧，main 函数和 Add 函数也会维护自己的栈帧，每个函数都有自己的 ebp 和 esp 来维护栈帧空间。

接下来，我们就从 main 函数的栈帧创建来开始分析。

4.3.1 转到反汇编

调试到 main 函数开始执行的第一行，右击鼠标后选择【转到反汇编】。

main函数转化来的汇编代码：

//注：VS编译器每次调试都会为程序重新分配内存，下面反汇编代码是一次调试代码过程中的数据，每次调试都会有差异。
int main()
{
//函数栈帧的创建
00521820  push        ebp  
00521821  mov         ebp,esp  
00521823  sub         esp,0E4h  
00521829  push        ebx  
0052182A  push        esi  
0052182B  push        edi  
0052182C  lea         edi,[ebp-24h]  
0052182F  mov         ecx,9  
00521834  mov         eax,0CCCCCCCCh  
00521839  rep stos    dword ptr es:[edi] 
//main函数中的核心代码
	int a = 3;
0052183B  mov         dword ptr [a],3  
	int b = 5;
00521842  mov         dword ptr [b],5  
	int ret = 0;
00521849  mov         dword ptr [ret],0  
	ret = Add(a, b);
00521850  mov         eax,dword ptr [b]  
00521853  push        eax  
00521854  mov         ecx,dword ptr [a]  
00521857  push        ecx  
00521858  call        _Add (05210B4h)  
0052185D  add         esp,8  
00521860  mov         dword ptr [ret],eax  
	printf("%d\n", ret);
00521863  mov         eax,dword ptr [ret]  
00521866  push        eax  
00521867  push        offset string "%d\n" (0527B30h)  
0052186C  call        _printf (05210D2h)  
00521871  add         esp,8  
	return 0;
00521874  xor         eax,eax  
}
00521876  pop         edi  
00521877  pop         esi  
00521878  pop         ebx  
00521879  add         esp,0E4h

4.3.2 函数栈帧的创建

接下来我们对 main 函数转化来的汇编代码进行逐一拆解。

00521820  push        ebp  
//把ebp寄存器中的值进行压栈，此时ebp中存放的是 invoke_main 函数栈帧的ebp，esp-4
00521821  mov         ebp,esp  
//move指令会把esp的值存放到ebp中，相当于产生了 main 函数的ebp，这个值就是 invoke_main 函数栈帧的esp
00521823  sub         esp,0E4h  
//sub会让esp中的地址减去一个十六进制数字0xE4，产生新的esp，此时的esp是main函数栈帧的esp，结合上一条指令的ebp和当前的esp，ebp和esp之间维护了一块栈空间，这块栈空间就是为 main 函数开辟的，即 main 函数的栈帧空间，这一段空间中将存储 main 函数中的局部变量、临时数据以及调试信息等。
00521829  push        ebx  //将寄存器ebx的值压栈，esp-4
0052182A  push        esi  //将寄存器esi的值压栈，esp-4
0052182B  push        edi  //将寄存器edi的值压栈，esp-4
//上面3条指令在栈区保存了3个寄存器的值，这3个寄存器在函数随后执行中可能会被修改，所以先保存寄存器原来的值，以便在退出函数时修复。
    
//下面的代码是在初始化 main 函数的栈帧空间
0052182C  lea         edi,[ebp-24h]  
//把ebp-24h的地址，放在edi中
0052182F  mov         ecx,9  
//把9放在ecx中
00521834  mov         eax,0CCCCCCCCh  
//把0xCCCCCCCC放在eax中
00521839  rep stos    dword ptr es:[edi] 
//把从edp-24h到ebp这一段内存的每个字节都初始化为0xCC，这段内存刚好是9个整型的空间。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eDDjHEgV-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813170600683.png)]$

上面那段代码的最后4句，等价于下面的伪代码：

edi = ebp-0x24;
ecx = 9;
eax = 0xCCCCCCCC;
for(; ecx != 0; --ecx,edi+=4)
{
	*(int*)edi = eax;
}

小知识：烫烫烫

#include <stdio.h>
int main()
{
	char arr[20];
	printf("%s\n", arr);
	return 0;
}

输出结果：

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9xEqJIfj-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813171822538.png)]$

之所以上面的程序会输出“烫”这么一个奇怪的字，正是因为 main 函数调用时，在栈区开辟的空间的其中每一个字节都被初始化成0xCC，而 arr 数组是一个未初始化的数组，恰好就是在这块空间上创建的，0xCCCC（两个连续排列的0xCC）的汉字编码就是“烫”，所以0xCCCC被当作文本就是“烫”。

接下来再分析 main 函数中的核心代码。

	int a = 3;
0052183B  mov         dword ptr [ebp-8],3  
//将3存储到ebp-8的地址处，ebp-8的位置其实就是a变量
	int b = 5;
00521842  mov         dword ptr [ebp-14h],5  
//将5存储到ebp-14h的地址处，ebp-14h的位置其实就是b变量
	int ret = 0;
00521849  mov         dword ptr [ebp-20h],0  
//将0存储到ebp-20h的地址处，ebp-20h的位置其实就是ret变量
//以上汇编代码表示的是变量a、b、ret的创建和初始化，这就是局部变量的创建和初始化，其实局部变量的创建是在局部变量所在函数的栈帧空间中创建的

//调用Add函数
	ret = Add(a, b);
//调用Add函数时的传参，其实就是把参数push到栈帧空间中
00521850  mov         eax,dword ptr [ebp-14h]  
//传递b，将ebp-14h处放的5存放在eax寄存器
00521853  push        eax  
//将eax的值压栈，esp-4
00521854  mov         ecx,dword ptr [ebp-8]  
//传递a，将ebp-8处放的3存放在ecx寄存器
00521857  push        ecx  
//将ecx的值压栈，esp-4

//跳转调用函数
00521858  call        _Add (05210B4h)  
0052185D  add         esp,8  
00521860  mov         dword ptr [ebp-20h],eax

由于VS编译器每次调试都会为程序重新分配内存，所以下面部分反汇编代码和内存的地址会有所不同，但不影响我们观察。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-STmGdDkN-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813192025352.png)]$

从图中可以看到，函数在进行传值调用的时候，形参其实是实参的一份拷贝，对形参的修改不会影响。

//跳转调用函数
00521858  call        _Add (05210B4h)  
0052185D  add         esp,8  
00521860  mov         dword ptr [ebp-20h],eax

由于 call 指令要执行函数调用逻辑，所以在执行 call 指令之前先会把 call 指令的下一条指令的地址进行压栈操作，这个操作是为了解决当函数调用结束后要回到 call 指令的下一条指令的地方继续往后执行。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5nlgGLwt-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813193909379.png)]$

代码执行到 Add 函数的时候，就要开始创建 Add 函数的栈帧空间了。

在 Add 函数中创建栈帧的方法和在 main 函数中是相似的，只是在栈帧空间的大小上略有差异。

将 main 函数的ebp压栈
计算新的 ebp 和 esp
将 ebx，esi，edi寄存器的值保存
计算求和，这里是通过 ebp 中的地址偏移访问到函数调用前压栈进去的参数，这就是形参访问。
将求出的和放在 eax 中准备带回

int Add(int x, int y)
{
00031760  push        ebp  
//将main函数栈帧的ebp保存，esp-4
00031761  mov         ebp,esp  
//将main函数栈帧的esp赋值给Add函数的ebp
00031763  sub         esp,0CCh  
//将esp减去0xCC，求出Add函数的esp
00031769  push        ebx  
//将ebx的值压栈，esp-4
0003176A  push        esi  
//将esi的值压栈，esp-4
0003176B  push        edi  
//将edi的值压栈，esp-4
	int z = 0;
0003176C  mov         dword ptr [ebp-8],0  
//将0存储到ebp-8的地址处，ebp-8的位置其实就是z变量
	z = x + y;
//接下来就是计算x+y，结果保存到z中
00031773  mov         eax,dword ptr [ebp+8]  
//将ebp+8地址处的数字存储到eax中
00031776  add         eax,dword ptr [ebp+0Ch]  
//将ebp+12地址处的数字加到eax中
00031779  mov         dword ptr [ebp-8],eax  
//将eax的结果保存到ebp-8的地址处，其实就是放到z中
	return z;
0003177C  mov         eax,dword ptr [ebp-8]  
//将ebp-8地址处的值放在eax中，其实就是把z的值存储到eax中，这里是想通过eax带回计算结果，做函数的返回值
}
0003177F  pop         edi  
00031780  pop         esi  
00031781  pop         ebx  
00031782  mov         esp,ebp  
00031784  pop         ebp  
00031785  ret

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z5YvGaMt-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813213415171.png)]$

4.3.3 函数栈帧的销毁

当函数调用要结束返回的时候，前面创建的函数栈帧也开始销毁。

下面就是具体执行销毁的反汇编代码：

0003177F  pop         edi  
//在栈顶弹出一个值，存放到edi中，esp+4
00031780  pop         esi  
//在栈顶弹出一个值，存放到esi中，esp+4
00031781  pop         ebx  
//在栈顶弹出一个值，存放到ebx中，esp+4
00031782  mov         esp,ebp  
//将Add函数的ebp赋值给esp，相当于回收了Add函数的栈帧空间
00031784  pop         ebp 
//弹出栈顶的值存放到ebp，栈顶此时的值恰好就是main函数的ebp，esp+4。
//此时恢复了main函数的栈帧维护，esp指向main函数栈帧的栈顶，ebp指向了main函数栈帧的栈底。
00031785  ret  
//ret指令的执行，首先是从栈顶弹出一个值，此时栈顶的值就是call指令下一条指令的地址，此时esp+4，然后直接跳转到call指令下一条指令的地址处，继续往下执行。

调用完 Add 函数，回到 call 指令的下一条指令：

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8I7aZwY-1691935479324)(C:\Users\HackerKevin\AppData\Roaming\Typora\typora-user-images\image-20230813214225414.png)]$

0003185D  add         esp,8  
//esp直接+8，相当于跳过了main函数中压栈的两个形参
00031860  mov         dword ptr [ebp-20h],eax
//将eax中的值存储到ebp-0x20的地址处，其实就是存储到main函数中的ret变量中，而此时eax中就是Add函数计算的x和y的和，可以看出来，本次函数的返回值是由eax寄存器带回来的。程序是在函数调用返回之后，在eax中去读取返回值的

到此为止，函数调用的过程、函数传参的方式就演示完毕了，最开始的问题也有了清晰的答案。