文章目录
电脑中的任何指令都是在
CPU上的运行的,但是CPU本身只负责运算不负责存储,数据一般都是存储在内存和寄存器(储存最常用的数据)。
想要理解函数栈帧的创建和销毁,首先必须了解四个知识点:内存地址布局、寄存器、常用汇编指令及内存模型。
一、基础知识
1.内存地址布局
首先要了解在我们的内存中地址是由高到低存放的,而且由有数据要占用内存空间时先用高地址再用低地址,我们在操作系统中称这个过程为压栈。每一个函数的调用,都要在内存地址中分配空间,函数调用结束后,函数所占的内存空间会返回给系统。
栈帧就是一个函数执行的环境:函数参数、函数的局部变量、函数执行完后返回到哪里等等。
首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(低地址)。
观察内存布局,建议不要使用太高级的编译器,越高级的编译器越不容易学习与观察汇编过程。
2.寄存器的种类与功能
| 寄 存 器 名 称 | 寄 存 器 功 能 |
|---|---|
| eax | 累加寄存器,相对于其他寄存器,在运算方面比较常用。 |
| ebx | 基地址寄存器,在内存寻址时存放基地址。 |
| ecx | 计数寄存器,用于循环操作,比如重复的字符存储操作,或者数字统计。 |
| edx | 作为EAX的溢出寄存器,总是被用来放整数除法产生的余数。 |
| esi | 源变址寄存器,主要用于存放存储单元在段内的偏移量。通常在内存操作指令中作为“源地址指针”使用。 |
| edi | 目的变址寄存器,主要用于存放存储单元在段内的偏移量。 |
| eip | 控制寄存器,存储CPU下次所执行的指令地址(存放指令偏移地址) |
| esp | 栈顶指针,堆栈的顶部是地址小的区域,压入堆栈的数据越多,esp也就越来越小。在32位平台上,esp每次减少4字节。栈指针寄存器(extended stack pointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。是CPU机制决定的,push、pop指令会自动调整esp的值 |
| ebp | 基址指针,指栈的栈底指针。基址指针寄存器(extended base pointer),一般与esp配合使用,可以存取某时刻的esp,这个时刻就是进入一个函数内后,CPU会将esp的值赋给ebp,此时就可以通过ebp对栈进行操作,比如获取函数参数,局部变量等。其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的底部。 |
3.常见汇编指令
为了方便各位理解,这里都采用小例子来帮助说明。
- push指令: 函数也是被其他函数所调用的(__tmainCRTstartup()函数),因此需要为main函数开辟内存空间。在32位平台上,esp每次减少4个字节。
说明:因为ebp是栈底指针,push即在esp栈顶指针处放入所要调用的函数的ebp指针。
- pop指令: 可以理解为出栈操作,即之前压的栈先从低地址处出栈,依次类推。只有在函数调用结束时才有pop指令。
说明:因为edi是最后进行压栈操作的,因此edi最先出栈。
- sub指令:减操作指令,从寄存器中减去<shifter_operand>表示的数值,并将结果保存到目标寄存器中。
说明:将反汇编中执行sub指令的上一条最终结果的地址减去0E4H的结果保存在esp中。
-
move指令:用于将一个数据从源地址传送到目标地址,源操作地址的内容不变。
说明:将esp的地址传给ebp,而esp的地址不改变。 -
lea指令:是“load effective address”的缩写,简单的说,lea指令可以用来将一个内存地址直接赋给目的操作数。
说明:将ebp-24h的地址直接赋给edi。
-
rep指令:重复前缀指令,英文缩写 repeat。能够引发其后字符串指令被重复。
-
stos指令:串存储指令,英文缩写 store string。
说明:通常这四条语句都是连在一起运行。
rep指令:重复其上面的指令,ecx的值是重复的次数,每执行一次,ecx 减 1,直到 ecx 减至0。
stos指令:将 eax中的值拷贝到es:[edi]指向的地址。
dword:一个word代表两个字节,dword即doubleword代表四个字节。
ptr:pointer缩写 即指针。
[ ]:[ ]里的数据是一个地址值,这个地址指向一个双字型数据。一次拷贝双字(4个字节)的数据到目的地址。
es:[edi]指向目的串。
多种指令合在一起意思是从ebp-24h的地址处向高地址的内存处存放0CCCCCCCCh的内容,重复39h次,每次赋予四个字节的空间。
- call指令:将程序下一条指令的位置的IP地址压入堆栈中,并转移到调用的子程序中。
- add指令:用于将两个运算子相加,并将执行add指令的上一步最后结果加上多少个字节写入第一个运算子。
说明:上一条最后操作的结果是esp,给 esp 加8,也就是 esp向高地址方向移动 8字节 。
- ret指令:用于终止当前函数的执行,将运行权交还给上层函数。也就是,当前函数的帧将被回收。
说明:执行这条命令之后,就自动返回刚才call指令的下一行。
4、内存模型
二、演示函数栈帧的创建与销毁
声明:此次演示的电脑是windows 10、编译环境 为vs2013(debug、Win32)。
以下代码为演示使用代码:
#include <stdio.h>
int Add(int x, int y)
{
int z = 0;
z = x + y;
return z;
}
int main()
{
int a = 10;
int b = 20;
int c = 0;
c = Add(a, b);
printf("%d\n", c);
return 0;
}
将光标放在int main下面的大括号处,按下F10,在编译器上方的调试处,选择窗口,再选择调用堆栈。
继续按F11去运行,当箭头指向return 0处再按F11,我们会跳转到以下画面,并且调用堆栈中出现了调用main函数的函数。这里我们可以证明main函数的确也是被其它函数所调用的,此时main函数已经调用完成即已经出栈,可见栈中已经没有main函数。
在此页面往上翻,可以找到调用main函数的函数与调用main函数的函数的函数,这里是嵌套调用,并且能观察出main函数是被__tmainCRTStartup函数调用的,而 __tmainCRTStartup又是被mainCRTStartup调用的。
1.调用main函数的准备
将光标放在main函数下面的大括号中重新开始调试,先不要按F10,此时在代码页面右击鼠标点击转入反汇编,进入到如下页面,该页面我已截图并且后面加上每一行指令所执行的步骤的具体分析(这只是其中一部分):
如果要观察压栈出栈的全过程,我将以画图的形式进行展示。按上面的执行顺序执行。注:将最后四步都归于第七步来分析。
第一步:说明:因为main函数是被__tmainCRTstartup函数所调用的,因此__tmainCRTstartup函数在栈中的地址肯定是比main函数高的,直线下方为main函数的函数栈帧。(因为画图空间有限,__tmainCRTstartup函数只说明是在main函数下方,我们只要对main函数进行探讨)
push是压栈操作,放入ebp。
第二步:说明:将esp的地址传给ebp。
第三步:将ebp的地址减少0E4H传给esp,ebp的地址不改变。
注:如果是第一次点入反汇编,可能减去的字节不是0E4h,而是FFFFFF1Ch。这里我们可以鼠标右键,选择“显示符号名”即可。
第四、五、六步:说明:都是进行进行压栈操作。
第七步:说明:因为画图空间有限,内存内容被改变为CCCCCCCC有39h次(16进制),每次四个字节,更改内容的起始位置到末尾改变的内容只画个大概,但始到末准确。
2.局部变量的创建
继以上的图,开始创建局部变量,为了避免图过于混乱,先将图中赋值的内容清空。
说明:以上带有h的数值都是16进制数字,0Ah转化为10进制为10;14h转化为10进制为20,20h转化为10进制为32。每一个矩形代表4个字节。
注:此处如果只是显示将值赋给a或b或c,仍是双击鼠标点击“显示符号名”来解决。
3.调用Add函数的准备
此时为调用Add函数做准备,我将过程分为三步。
第一步:压入eax并赋值。
第二步:压入ecx并赋值。
第三步:将IP地址压入栈中。
注:当执行完第三步后会直接跳转到以下页面,再按一次F11才能进入调用Add函数的反汇编中,当调用完Add函数后才执行第三步下面的执行命令。
4.为Add函数开辟栈帧
第一步:压入ebp。
第二步:
第三步:压入ebx,esi,edi。
第四步:赋值操作。
经过上述的详解,我们可见Add函数的调用与main函数的调用的形式大相径庭,必须要对函数调用非常熟悉与理解。
5.在Add()函数中创建变量并运算
第一、二、三步:
第四、五步:eax与ebp-8的地址都被赋值30。
6.Add函数栈帧的销毁
第一步:出栈操作。
第二步:将ebp的地址赋给esp。
第三步:ebp出栈。
7.返回main函数的栈帧
第一步:在执行add指令前已经回收了IP地址00B310E1的内容,回收IP地址内容后esp的地址增加了4个字节,执行add指令后esp的地址再增加八个字节,因为编译器原因,实际上esp与edi的地址不相等,我们这里可以不用深度去研究。
第二步:eax的值赋给ebp-20h的地址处,而eax经过Add函数的处理现在已经为30。而ebp-20h地址处正好为变量c的地址。
8.总结
我们通过例子来观察函数栈帧的创建与销毁,相信你对它已经有了非常深刻的了解。我们学习完后,对以下问题都能够回答吗?
比如:
1.局部变量是怎么创建的?
2.为什么局部变量的值是随机值?
3.函数是怎么传参的?传参的顺序是怎样的?
4.形参和实参是什么关系?
5.函数调用是怎么做的?
6.函数调用是结束后怎么返回的?
如果这篇文章让你对了解函数栈帧的创建与销毁有帮助,麻烦点个赞支持一下谢谢,原创不易,侵权必究!
1616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
