栈帧结构简析

最新推荐文章于 2025-03-21 15:25:54 发布
最新推荐文章于 2025-03-21 15:25:54 发布
阅读量1.7k 收藏 8
点赞数 4
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonactions/article/details/117749169
版权

目录

1. 前言

函数的栈帧可以显示栈当前的使用情况,对于理解栈的使用以及定位bug比较有帮助。本文就使用一个简单的函数调用示例来学习栈帧的分布。主要使用32位和64位 gcc编译器分别进行编译,并查看相应的栈帧结构。

2. aach32栈帧分析

//ARCH: armv7
//GCC版本:arm-linux-gnueabi-gcc (Linaro GCC 5.4-2017.01) 5.4.1 20161213
int fun(int a,int b)
{
   int c = 1;
   int d = 2;
   
   return 0;
}

int main(int argc,char **argv)
{
   int a = 0;
   int b = 1;
   fun(a,b);
}

arm-linux-gnueabihf-gc -d a.out
反汇编后的结果:

......
00010398 <fun>:
   //将fun函数的栈底指针r7入栈
   10398:       b480            push    {r7}
   //分配20个字节的栈空间
   1039a:       b085            sub     sp, #20
   //fun函数的帧指针指向栈底
   1039c:       af00            add     r7, sp, #0
   //形参0入栈
   1039e:       6078            str     r0, [r7, #4]
   //形参1入栈
   103a0:       6039            str     r1, [r7, #0]
   //局部变量c入栈
   103a2:       2301            movs    r3, #1
   103a4:       60fb            str     r3, [r7, #12]
   //局部变量d入栈
   103a6:       2302            movs    r3, #2
   103a8:       60bb            str     r3, [r7, #8]
   //保存返回值为0
   103aa:       2300            movs    r3, #0
   103ac:       4618            mov     r0, r3
   //恢复sp为main函数的栈指针
   103ae:       3714            adds    r7, #20
   103b0:       46bd            mov     sp, r7
   //恢复fp(r7)为main函数的帧指针
   103b2:       bc80            pop     {r7}
   //返回到main函数
   103b4:       4770            bx      lr
   103b6:       bf00            nop

000103b8 <main>:
   //将main函数的栈底和lr入栈
   103b8:       b580            push    {r7, lr}
   //分配16字节的栈空间
   103ba:       b084            sub     sp, #16
   103bc:       af00            add     r7, sp, #0
   //形参argv入栈
   103be:       6078            str     r0, [r7, #4]
   //形参argc入栈
   103c0:       6039            str     r1, [r7, #0]
   //局部变量a入栈
   103c2:       2300            movs    r3, #0
   103c4:       60fb            str     r3, [r7, #12]
   //局部变量b入栈
   103c6:       2301            movs    r3, #1
   103c8:       60bb            str     r3, [r7, #8]
   //局部变量b存放到r1寄存器
   103ca:       68b9            ldr     r1, [r7, #8]
   //局部变量a存放到r0寄存器
   103cc:       68f8            ldr     r0, [r7, #12]
   //跳转到fun函数
   103ce:       f7ff ffe3       bl      10398 <fun>
   103d2:       2300            movs    r3, #0
   103d4:       4618            mov     r0, r3
   103d6:       3710            adds    r7, #16
   103d8:       46bd            mov     sp, r7
   103da:       bd80            pop     {r7, pc}
......

栈帧结构:
在这里插入图片描述

需要注意的是从上面的示例可以看到栈是如何被使用的,通过反汇编也可以看到是如何恢复到调用函数的,但是通过如上分析并不能看出栈帧是如何回溯的,因此栈帧的回溯需要依赖其他的部分。

3. aach64栈帧分析

//ARCH: armv8
//GCC版本:aarch64-linux-gnu-gcc (Linaro GCC 5.4-2017.01) 5.4.1 20161213
int fun2(int c,int d)
{
   return 0;
}

int fun1(int a,int b)
{
   int c = 1;
   int d = 2;
   
   fun2(c, d);
   return 0;
}

int main(int argc,char **argv)
{
   int a = 0;
   int b = 1;
   fun1(a,b);
}

aarch64-linux-gnu-objdump -d a.out
反汇编后的结果为:

0000000000400530 <fun2>:
  //更新sp到fun2的栈底
  400530:       d10043ff        sub     sp, sp, #0x10
  400534:       b9000fe0        str     w0, [sp,#12]
  400538:       b9000be1        str     w1, [sp,#8]
  40053c:       52800000        mov     w0, #0x0                        // #0
  400540:       910043ff        add     sp, sp, #0x10
  400544:       d65f03c0        ret

0000000000400548 <fun1>:
  //分配48字节栈空间,先更新sp=sp-48, 再入栈x29, x30, 此时sp指向栈顶
  400548:       a9bd7bfd        stp     x29, x30, [sp,#-48]!
  40054c:       910003fd        mov     x29, sp
  //入栈fun1参数0
  400550:       b9001fa0        str     w0, [x29,#28]
  //入栈fun1参数1
  400554:       b9001ba1        str     w1, [x29,#24]
  //入栈fun1局部变量c
  400558:       52800020        mov     w0, #0x1                        // #1
  40055c:       b9002fa0        str     w0, [x29,#44]
  //入栈fun1局部变量d
  400560:       52800040        mov     w0, #0x2                        // #2
  400564:       b9002ba0        str     w0, [x29,#40]
  400568:       b9402ba1        ldr     w1, [x29,#40]
  40056c:       b9402fa0        ldr     w0, [x29,#44]
  //跳转到fun2
  400570:       97fffff0        bl      400530 <fun2>
  400574:       52800000        mov     w0, #0x0                        // #0
  400578:       a8c37bfd        ldp     x29, x30, [sp],#48
  40057c:       d65f03c0        ret

0000000000400580 <main>:
  //分配48字节栈空间,先更新sp=sp-48, 再入栈x29, x30, 此时sp指向栈顶
  400580:       a9bd7bfd        stp     x29, x30, [sp,#-48]!
  //x29、sp指向栈顶
  400584:       910003fd        mov     x29, sp
  //入栈main参数0
  400588:       b9001fa0        str     w0, [x29,#28]
  //入栈main参数1
  40058c:       f9000ba1        str     x1, [x29,#16]
  //入栈变量a
  400590:       b9002fbf        str     wzr, [x29,#44]
  400594:       52800020        mov     w0, #0x1                        // #1
  //入栈变量b
  400598:       b9002ba0        str     w0, [x29,#40]
  40059c:       b9402ba1        ldr     w1, [x29,#40]
  4005a0:       b9402fa0        ldr     w0, [x29,#44]
  //跳转到fun1
  4005a4:       97ffffe9        bl      400548 <fun1>
  4005a8:       52800000        mov     w0, #0x0                        // #0
  4005ac:       a8c37bfd        ldp     x29, x30, [sp],#48
  4005b0:       d65f03c0        ret
  4005b4:       00000000        .inst   0x00000000 ; undefined

对应栈帧结构为:
在这里插入图片描述

总结一下:
通过对aarch64代码反汇编的分析,可以得出:

  1. 每个函数在入口处首先会分配栈空间,且一次分配,确定栈顶,之后sp将不再变化;
  2. 每个函数的栈顶部存放的是caller的栈顶指针,即fun1的栈顶存放的是main栈顶指针;
  3. 对于最后一级callee函数,由于x29保存了上一级caller的栈顶sp指针,因此不在需要入栈保存,如示例中fun2执行时,此时x29指向fun1的栈顶sp

4. x86_64栈帧分析

X86-64有16个64位寄存器,分别是:
%rax,%rbx,%rcx,%rdx,%esi,%edi,%rbp,%rsp,%r8,%r9,%r10,%r11,%r12,%r13,%r14,%r15。
其中:
%rax 作为函数返回值使用。
%rsp 栈指针寄存器,指向栈顶
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数…
%rbx,%rbp,%r12,%r13,%14,%15 用作数据存储,遵循被调用者使用规则,简单说就是随便用,调用子函数之前要备份它,以防他被修改
%r10,%r11 用作数据存储,遵循调用者使用规则,简单说就是使用之前要先保存原值
%rip:相当pc,指向下一条将要运行的指令的地址
在这里插入图片描述
注:rip相当于arm中的pc
ref: :https://blog.csdn.net/zhbt1234/article/details/54019620

//ARCH: x86_64
//GCC版本:gcc (Ubuntu 7.5.0-3ubuntu1~18.04) 7.5.0
int fun2(int c,int d)
{
   return 0;
}

int fun1(int a,int b)
{
   int c = 1;
   int d = 2;
   
   func2(c, d);
   return 0;
}

int main(int argc,char **argv)
{
   int a = 0;
   int b = 1;
   fun1(a,b);
}

objdump -d a.out
反编译后的结果如下:

00000000000005fa <fun2>:
//rbp保存fun1函数的栈底,入栈
 5fa:   55                      push   %rbp
 //初始化fun2函数的帧指针为栈底
 5fb:   48 89 e5                mov    %rsp,%rbp
 //参数c入栈
 5fe:   89 7d fc                mov    %edi,-0x4(%rbp)
 //参数d入栈
 601:   89 75 f8                mov    %esi,-0x8(%rbp)
 //返回值0
 604:   b8 00 00 00 00          mov    $0x0,%eax
 //恢复fun1的栈底指针rbp
 609:   5d                      pop    %rbp
 60a:   c3                      retq   

000000000000060b <fun1>:
 //rbp保存main函数的栈底,入栈
 60b:   55                      push   %rbp
 //初始化fun1函数的帧指针为栈底
 60c:   48 89 e5                mov    %rsp,%rbp
 //分配栈空间
 60f:   48 83 ec 18             sub    $0x18,%rsp
 //参数a入栈
 613:   89 7d ec                mov    %edi,-0x14(%rbp)
 //参数b入栈
 616:   89 75 e8                mov    %esi,-0x18(%rbp)
 //局部变量c入栈
 619:   c7 45 f8 01 00 00 00    movl   $0x1,-0x8(%rbp)
 //局部变量d入栈
 620:   c7 45 fc 02 00 00 00    movl   $0x2,-0x4(%rbp)
 //取出参数c,d分别存放到edi, esi寄存器准备调用fun1函数
 627:   8b 55 fc                mov    -0x4(%rbp),%edx
 62a:   8b 45 f8                mov    -0x8(%rbp),%eax
 62d:   89 d6                   mov    %edx,%esi
 62f:   89 c7                   mov    %eax,%edi
 //调用fun2
 631:   e8 c4 ff ff ff          callq  5fa <fun2>
 636:   b8 00 00 00 00          mov    $0x0,%eax
 63b:   c9                      leaveq 
 63c:   c3                      retq   

000000000000063d <main>:
 //rbp保存上一个函数的栈底,入栈
 63d:   55                      push   %rbp
 //初始化main函数的帧指针为栈底
 63e:   48 89 e5                mov    %rsp,%rbp
 //分配0x20的栈空间
 641:   48 83 ec 20             sub    $0x20,%rsp
 //入栈参数0
 645:   89 7d ec                mov    %edi,-0x14(%rbp)
 //入栈参数1
 648:   48 89 75 e0             mov    %rsi,-0x20(%rbp)
 //入栈局部变量a
 64c:   c7 45 f8 00 00 00 00    movl   $0x0,-0x8(%rbp)
 //入栈局部变量b
 653:   c7 45 fc 01 00 00 00    movl   $0x1,-0x4(%rbp)
 //取出参数a,b分别存放到edi, esi寄存器准备调用fun1函数
 65a:   8b 55 fc                mov    -0x4(%rbp),%edx
 65d:   8b 45 f8                mov    -0x8(%rbp),%eax
 660:   89 d6                   mov    %edx,%esi
 662:   89 c7                   mov    %eax,%edi
 //调用fun1函数
 664:   e8 a2 ff ff ff          callq  60b <fun1>
 669:   b8 00 00 00 00          mov    $0x0,%eax
 66e:   c9                      leaveq 
 66f:   c3                      retq

根据如上反汇编代码,通过gdb单步实时查看当前栈的情况:

main:
-----------------------
rsp:0x7fffffffe9c0 入栈main函数的父函数的rip 
    0x7fffffffe9b8 入栈main函数的父函数的rbp
          

rbp: 0x7fffffffe9b8

0x7fffffffe998: 0xffffeac8      0x00007fff      0x00000001      0x00000001
                |     main参数1          |                      |main参数0|
0x7fffffffe9a8: 0x555546cd      0x00005555      0x00000000      0x00000001
                                                |局部变量a|      |局部变量b|
0x7fffffffe9b8: 0xffffe9e0      0x00007fff      0xffffeac8      0x00007fff
                |    main函数父函数的rbp  |      |     main函数父函数的rip  |
                
     

fun1:
----------------------
rsp:0x7fffffffe990  入栈main函数的rip
    0x7fffffffe988  入栈main函数的rbp
    0x7fffffffe970  分配栈空间

rbp:0x7fffffffe988  


0x7fffffffe968: 0x00000000      0x00000000      0x00000001      0x00000000
                                                |fun1参数b|     |fun1参数a|
0x7fffffffe978: 0x756e6547      0x00000001      0x00000002      0x00000000
                                                |局部变量c|      |局部变量d|
0x7fffffffe988: 0xffffe9b8      0x00007fff      0x55554672      0x00005555
                |    main函数的rbp        |      |     main函数的rip      |                                   


func2:
-----------------------
rsp: 0x7fffffffe968 入栈fun1函数的rip
     0x7fffffffe960 入栈fun1函数的rbp
     
     

rbp: 0x7fffffffe960


0x7fffffffe960: 0xffffe988      0x00007fff      0x55554636      0x00005555
                |    fun2函数的rbp       |      |     fun2函数的rip       | 


fun2返回时:
--------------------------
rsp:0x7fffffffe968 出栈fun1函数的rbp
    0x7fffffffe970 出栈fun1函数的rip

rbp:0x7fffffffe988

fun1返回时:
-------------------------
rsp:0x7fffffffe990 出栈main函数的rbp
    0x7fffffffe998 出栈main函数的rip

rbp:0x7fffffffe9b8

栈帧结构为:
在这里插入图片描述

总结一下:
通过对x86 64代码反汇编的分析,与aarch64还是有区别的,可以得出:

  1. 每个函数在入口处首先会分配栈空间,且一次分配,确定栈顶,之后rsp将不再变化;
  2. 每个函数的栈底部存放的是caller的栈底指针,即fun1的栈底存放的是main栈底指针;
  3. 对于最后一级callee函数,rbp指向自身栈底,如示例中fun2执行时,此时rbp指向fun2的栈底

总结一句话:
aarch64当前栈顶保存上一级函数的栈顶;x86_64当前栈底保存上一级函数的栈底

参考文档

  1. https://gcc.gnu.org/gcc-5/changes.html#arm
  2. https://f5.pm/go-30007.html
  3. https://developer.arm.com/documentation/ihi0038/b/
  4. 内核中dump_stack的实现原理(1) —— 栈回溯
了解帧结构
na_hanqiannan的博客
05-13 2163
内存的分配方式有三种:●从静态区域分配  内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。如 全局变量、stasic变量●在上创建  在执行函数时,函数内局部变量的存储单元都可以在上创建,函数执行结束时这些存储单元自动被释放。内存分配运算内置于处理器的指令集中,效率很高,但是分配的内存容量有限。●从堆上分配(动态内存分配)  程序在运行的时候用malloc或new(c+...
帧结构
amy acker的博客
04-20 2854
(Stack Frame)是用于支持虚拟机进行方法调用和方法执行的数据结构,它是虚拟机运行时数据区中的虚拟机元素。存储了方法的局部变量表丶操作数丶动态连接和方法返回地址等信息。每一个方法从调用开始至执行完成的过程,都对应着一个在虚拟机里面从入到出的过程。对于执行引擎来说,在活动线程中,只有位于顶的才是有效的,称为当前。与当前相关联的方法,称为当前方法。 局部变量表 局部变量表(Local Variable Table)是一组变量值存储空间,用于存放方法参数和方
函数的创建与销毁
最新发布
2302_77620024的博客
03-21 788
函数的(Stack Frame)是程序执行过程中,用于存储函数调用相关信息的一块内存区域。每当一个函数被调用时,系统会在调用(Call Stack)上为其分配一个,用于保存该函数的局部变量、参数、返回地址等信息。在函数调用结束后会被释放。
帧结构详解
lizhongchao_的博客
03-26 1万+
Java虚拟机以方法作为基本的执行单位,“”是用于支持虚拟机进行方法调用和执行的数据结构,每一个方法从调用开始到执行结束,都对应着一个在虚拟机里面从入到出的过程,也是虚拟机运行时数据区中虚拟机元素。位于顶的被称为“当前”,其对应的方法称为“当前方法”。   中存储了方法的局部变量表、操作数、动态连接、方法返回地址和附加信息(例如,调试、性能收集相关的信息,取决于具体的虚拟机实现,是《Java虚拟机规范》中未描述的信息)。
数据结构之c语言篇概念知识梳理总结
河马HerMark的博客
01-08 1653
什么是时间复杂度 递归:单次递归乘上总的递归次数 什么是空间复杂度 在这个算法当中,函数创建的变量(对象)的个数关于问题规模N的数学表达式 递归:单次递归乘上递归深度(递归深度不是递归次数) 一般常见:O(N) O(1) O(N^2) 考察方式 二分查找 各种排序的时间空间复杂度 实现一个算法,有时间空间复杂度的要求 按照特定时间空间复杂度对算法进行优化 ...
简析操作系统中的
Vurteon的专栏
09-12 1891
在编写递归函数的时候,大多数时候只是关心局部变量和形参。但是的工作情况本来就是一个伟大的创新,所以详细的了解不仅仅有助于编程思想的培养,对递归(函数调用)也会有更多的认识。
简析Go与Java内存管理的差异
molixuebeibi的博客
06-13 2251
前言 从实践中看,Golang(以下简称Go)应用程序比Java占用更少的内存,这与它们的运行时环境有关,其运行时自带了内存动态分配和自动垃圾回收的管理机制,本文通过分析Go与Java在内存管理机制上的差异,以期对两者在运行时内存方面有更进一步的认识。本文以Go(1.12)和当前使用较多的JDK8 HotSpot VM为例进行说明。 本篇文章包含以下内容: 介绍Go与Java的运行时内存结构差异 ...
内存方面的详细讲述以利于深刻编程
09-28
例如,在调用函数时,编译器会自动处理的创建与销毁,包括将参数压入中、保存返回地址等。这种自动化处理极大地简化了编程过程,让开发者可以专注于业务逻辑而非底层细节。 另一方面,堆的操作则更加显式,...
源码工具附件及内存管理技术分析
- 这个链接指向了一篇博文,尽管没有直接的描述来指出其内容,但基于其结构,可以推测该博文可能包含IT相关的内容,比如编程、开发经验分享或是技术问题的解决方案。 4. 标签:“源码 工具” - 标签“源码”通常...
的结构
liufp的专栏
03-19 219
的结构 标题的结构分为四层 局部变量 当前方法的局部变量 基本数据类型存值,引用数据类型存地址 数据槽(slot)->专门对应于我们存储数据的字节 一个数据槽4个字节,所有基本数据类型和引用数据类型基本上都是占用一个槽,只有double和long占用两个槽,为了代码的快速分配 一般情况下非静态方法的第一个位置存放的是当前对象的引用(this) 操作数 对方法中的变量提供计算的区域 常量信息,常量数据的引用 常量数据会专门存放到常量池中,基本数据类型、引用数据类型都存放常量
JVM 帧结构详解
云扬的博客
12-14 1231
在 Java 虚拟机(JVM)中,(Stack Frame)是用于支持方法调用和方法执行的关键数据结构。每个方法从调用开始到执行完成,都对应着一个在虚拟机中从入到出的过程。本文将详细介绍 JVM 的结构及其组成部分
的基本结构
xinxin的博客
02-25 718
(Stack Frame)是函数调用过程中,在中分配的一块内存区域,用于存储当前函数的所有局部变量、参数、返回地址等信息。每当一个函数被调用时,操作系统就会为该函数分配一个新的;当函数执行完毕时,相应的就会被销毁。
尚硅谷JVM从入门到精通宋红康版|第五章、虚拟机
weixin_45759791的博客
07-13 1404
虚拟机 虚拟机概述 由于跨平台性的设计,Java的指令都是根据来设计的。不同平台CPU架构不同,所以不能设计为基于寄存器的。 优点是跨平台,指令集小,编译器容易实现,缺点是性能下降,实现同样的功能需要更多的指令。 有不少Java开发人员一提到Java内存结构,就会非常粗粒度地将JVM中的内存区理解为仅有Java堆(heap)和Java战(stack)?为什么? 首先是运行时的单位,而堆是存储的单位 解决程序的运行问题,即程序如何执行,或者说如何处理数据。 堆解决的是数据存储的问题,即数据怎么放,
运行时帧结构
热门推荐
heihei
11-05 1万+
是用于虚拟机进行方法调用和方法执行的数据结构。每一个的如和出过程代表了一个方法执行和结束的过程。 每一个包括局部变量表,操作数,动态链接,返回地址等等信息。的所有信息在编译代码阶段就已经确定了,不会收到运行时数据的影响。    1.局部变量表每一个变量都会储存在Slot中,64位机器的Slot占64位,每个Slot都可以存储java数据类型和引用类型。局部变量表的第0
disk数据结构简析
03-08
好的,用户现在问的是关于“disk数据结构简析”。我需要先确定用户指的是哪种上下文中的“disk数据结构”。因为“disk”这个词在计算机科学中可以指硬盘、磁盘的数据结构,也可能是指数据库中的数据结构,或者是某种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值