C语言：程序底层的魅力——函数栈帧

学C有段时间了，大家都知道，函数中的变量都是存放在栈空间的。而在操作栈的时候呢，往往是先使用高地址，再使用低地址。什么意思呢？看看下面的图

 可是知道了这些，还是会有一些疑问：

• 局部变量是怎么创建的呢？
• 为什么局部变量的值是随机值？
• 函数是怎么传参的？传参的顺序又是怎样的？
• 函数调用是怎么做的？
• 函数调用结束后是怎么返回的呢？

这些问题，在学习了函数栈帧之后，我大概明白了。接下来，就跟大家分享一下函数栈帧

函数栈帧

在讲函数栈帧之前，得给大家讲一下计算机中几个寄存器，eax ，ebx，ecx，edx，ebp，esp。会发现我把ebp和esp标红了，是因为ebp和esp这两个寄存器，是用来维护函数栈帧的。举个例子：

 我们在栈空间上为main函数分配了一段空间，ebp指向main函数栈帧的栈底，esp指向栈顶。所以esp也叫做栈顶指针，ebp叫做栈底指针。

 当我们把main函数调试完之后可以看到栈上又多了一个函数__tmainCRTStartup()。这说明，main函数也是被调用的函数，是被__tmainCRTStartup()函数给调用了。下面我们逐条语句的来调试这个程序，为了方便观察，我们需要打开反汇编窗口、监视器、内存这几个窗口。

上面讲到main函数也是被另一个函数调用，所以在我们的栈中，应该先给__tmainCRTStartup()创建一个函数栈帧。

函数栈帧的创建

我们在调用函数的时候，就得先在栈中为它开辟一个空间，那栈帧具体是怎么去创建的呢？

看到汇编代码，第一句是push  ebp，什么意思呢？在上面的那幅图中，ebp是指向的__tmainCRTStartup()函数的栈底，push就是一个压栈的操作，把ebp压到栈顶。因为我们的esp是栈顶指针，所以push操作之后，esp就会往上面移动。文章的开头讲到，栈的使用是先使用高地址，再使用低地址。所以，push之后，esp的值会减4。而此时栈上面的情况就是这样的接着往下走，mov  ebp,esp这条汇编代码就是把esp的值放到ebp中，也就是说此时，ebp不再指向__tmainCRTStartup()函数栈帧的栈底，而是指向esp所指向的位置。接着就是sub  esp, 0E4H，这条语句就是把esp的值减0E4H，大家想想，这一步是不是就是把esp往上面移动啊。那么现在，esp到ebp的这段空间，就是main函数的函数栈帧再下一步就是push  ebx ，push  esi，push edi，把它们都进行压栈操作，这三个寄存器，在这里的作用是为了初始化main函数的函数栈帧，下面我们会讲到。注意，这里进行了三次压栈操作，esp已经往上面移动了。lea  edi,[ebp+FFFFFF1Ch]， mov  ecx,39h，mov  eax,0CCCCCCCCh，rep stos    dword ptr es:[edi]，这几条语句的 作用就是把main函数栈帧的值，初始华为0CCCCCCCCH。此时我们的栈空间应该是这个样子的

到这里main函数的栈帧就创建好了，并且把栈帧中的空间初始化为cccccccc。函数栈帧有了，就可以创建变量了，mov   dword ptr [ebp-8],0Ah，对应的是我们创建的a变量。就是把0Ah放到ebp-8的位置，mov   dword ptr [ebp-14h],14h，对应的是我们创建的变量b，同理是把14h放到地址为ebp-14h的位置，mov    dword ptr [ebp-20h],0，同理是变量c的创建和初始化。变量定义好之后就开始调用我们自己写的add函数了，大家看看这个函数是怎么调用的呢？接着我们的 汇编代码往下走。mov     eax,dword ptr [ebp-14h]，这条语句呢就是把ebp-14h位置上的值放到eax寄存器中，大家看看ebp-14h不就是我们存放变量b的位置吗。接着就把eax进行压栈操作。而mov     ecx,dword ptr [ebp-8h]，不就是我们存放变量a的位置吗。同样进行压栈操作。两部不就是在给我们的add函数传参吗，分别把变量a的值和b的值放到寄存器eax和ecx中。到这一步的时候大家应该就知道为什么说传值传参是把值拷贝一份传过去了吧。

接下来这一步就很关键了，这是真正要进入到add函数里面去了。在进入add函数之前，             call        00BD10E6，这条语句会把下一条汇编代码的地址压栈操作。看下图，栈顶的值是不是就是call操作的下一条语句的位置呢此时我们已经在add函数了，大家看看前面部分的汇编代码，是不是似曾相识？没错，每个函数在使用的时候都要为它创建函数栈帧。这里和main函数的栈帧创建原理是一样的，就大概讲一下。首先还是push  ebp，把ebp压栈，而此时ebp里面放的是main函数栈帧的栈底的位置。接着就是让ebp指向现在esp所指向的位置。esp向上面移动occh，接着就把ebx，esi，edi进行压栈操作，把add函数的函数栈帧格式化为CCCCCCCCH。接着就是在add函数栈帧中创建一个变量z，同main函数一样，在ebp - 8的位置创建第一个变量。而接下来的汇编代码就很关键了，我们看接下来的三条语句：         mov         eax,dword ptr [ebp+8],这条语句，把ebp+8的位置的值放到寄存器eax中，大家看看，ebp+8中存放的是什么？那就是我们ecx所在的地方啊。ecx里面存放的就是main函数中变量a的值呀。接着add         eax,dword ptr [ebp+0Ch] ，这就是把变量b的值加到eax中，这不就是a+b的值了吗。mov         dword ptr [ebp-8],eax，接着就把eax的值放到变量z所在的位置。这时候问题出现了，那函数结束后z不久被释放吗，怎么返回值呢？这就是最后的一条语句的精妙之处。          mov         eax,dword ptr [ebp-8]，这条语句，就是把z的值放到寄存器eax中，我们知道，变量会被释放掉，但是寄存器是一直存在的，通过寄存器就把值返回出来了。 add函数到这里就使用完了，那么这片内存是怎么释放的呢？     首先先把栈中那三个用来格式化栈帧的寄存器出栈，再把esp的指针指向ebp的位置。而现在栈顶的值是什么呢，是不是就是main函数栈帧的栈底指针呀。在把栈顶的值出栈存放到ebp中。现在的栈就是这个样子的了：这个时候栈顶的值就是我们下一条汇编指令的地址啊，所以ret操作之后，就进入了前边说的call操作的下一条指令。接下来这条指令就把add函数中存放到eax的值存放到c的位置上，就完成了我们的函数调用。

请多指教