C语言——函数栈帧的创建和销毁

前言

本文从内存层面上主要讲解函数的以下几个问题

• 局部变量是怎样创建的
• 为什么局部变量的值是随机值
• 函数是怎样传参的，传参的顺序是怎样的
• 形参和实参之间是什么关系
• 函数调用是怎么做的
• 函数调用结果如何返回

本文也有助于理解程序是如何被计算机执行的
但是本文写的很乱，待博主理解得更清晰后会再次整理

预备知识

寄存器：esp(栈顶指针，指向函数栈帧的顶部)和ebp(栈底指针，指向函数栈帧的底部)用于维护函数栈帧。
压栈(push)：从栈顶压一个字节，esp向低地址移动一位。
出栈(pop)：从栈顶删除一个字节，esp向高地址移动一位。
dword代表四个字节。
栈区的使用规则是先使用高地址，再使用低地址。

示例代码

本文以如下代码为例子，粗略讲解它在计算机是如何被执行的

#include<stdio.h>
int Add(int x, int y)
{
	int z = 0;
	z = x + y;
	return z;
}

int main()
{
	int a = 10;
	int b = 20;
	int c = 0;

	c = Add(a, b);

	printf("%d\n", c);

	return 0;
}

对应的反汇编代码

main()函数的调用堆栈

Add()函数的调用堆栈

栈区调用图示

• 进入main()之前栈区是这样的
  
• 第一条汇编指令
  push ebp
  在原来的栈顶上开辟一个字节的空间，存放ebp的值(这个ebp的值是调用main()的函数的ebp，为函数调用结束返回做铺垫)，指向栈顶指针也跟着+1
  
• 第二条指令
  

把esp的值赋给ebp，此时两者指向同一个位置，执行流离开调用main()的那个函数

• 接下来
  

esp的值减去0E4h(十六进制，对应十进制的228)，esp指向一个更低的地址
这就为main()分配好了栈帧空间

• 接下来三条push指令在栈顶再开辟三个字节的空间，分别放ebx、esi、edi，
  这三个空间是干什么的本文不涉及，但是每次都用函数都会出现
  
  
• 接下来的四条指令是为开辟的空间初始化，意思是先把ebp-24h的值加载到edi中，把9赋值给ecx，0CCCCCCCCh赋值给eax，最后把从ebp指向的后一个内存（往低地址方向）直到edi指向的内存赋值为eax的内容（初始化完后edi的值会变成ebp的值），这点可以从vs2019的内存窗口看到。
  

• 以上便是main()的栈帧调用
  下面是我们写的C语言代码对应的汇编代码
  以下几条指令完成a、b、c的创建和初始化，分别意思是把0Ah（十进制下的10）赋值给ebp-8所指向的内存（也就是变量a的内存），把14h（十进制下的20）赋值给ebp-14h所指向的内存（也就是b的内存），把0赋值给ebp-20h所指向的内存（也就是c的内存）
  
  

函数传参

• 接下来将要调用Add函数，而在调用Add函数之前，需要先传参
  以下四条指令完成了传参这个动作：
  先把ebp-14h（也就是&b）指向的内容赋值给寄存器eax，再在栈顶开辟一字节的空间，放的是eax的值（也即创建了形参x）；再把ebp-8（也就是&a）指向的空间赋值给寄存器ecx，再在栈顶开辟一字节的空间，放的是ecx的值（也即创建了形参y）
  

可见形参先于函数创建，这里插播一个例题
结果是8 8，请思考为什么不是7 8？

int main()
{
	int arr[] = { 6,7,8,9,10 };
	int* ptr = arr;
	*(ptr++) += 123;
	//printf("%d,%d", *ptr, *(++ptr));//其实不是传参顺序的问题，而是参数先于函数创建，也即参数部分的表达式先执行完后再传参
	printf("%d %d", *(++ptr), *ptr);//而自加这种表达式会带来副作用
}

• 接下来一条call指令使得执行流跳转到Add的汇编代码，并且在栈顶再开辟一条空间，放的是存放call的下一条指令的地址（为了函数调用结束后能够将继续执行后面的代码）
  
  
• 跳转到Add函数后，可以发现前面的汇编代码和main()函数几乎是一样的，只是创建的栈帧空间大小不同
  
• 第一句指令先再栈顶开辟一字节的空间，放ebp的值（为了返回main()做铺垫）；第二句mov把esp的值赋值给ebp，这样，程序的执行流便离开了main()
  
• 接下来一条指令把esp的值减去0CCh，这样便为Add()创建了栈帧空间
  
• 接下来三个push
  
• 接下来初始化了三个字节为CCCCCCCC
  

• 接下来创建Add()中的临时变量z，ebp-8对应的位置的内存就是z，被初始化为0
  

• 接下来三条指令执行z=x+y;
  先把ebp+8所指的内存（就是形参x）存放的值赋值给寄存器eax，再把ebp+0Ch所指的内存（就是形参y）存放的值加到寄存器eax上，最后再把eax的值赋值给ebp-8指向的内存（也就是z）
  
• 接下来执行return z;
  先把ebp-8处的值赋值给寄存器eax，再依次弹出栈顶的三个字节并把内容依次赋值给寄存器edi、esi、ebx
  
• 接着esp+0CCh，为Add开辟的栈空间被释放
  
• add下面的三条指令暂且不管
  指令pop ebp弹出栈顶的一个内存单元并把该内存单元内的值赋值给ebp，而这个值就是调用Add()之前main()的ebp的值，因此执行流便回到了main()
  

• ret执行后
  

• 由于先前保存了Add()下一条指令的地址，这条指令既是为了释放形参变量的空间，也使得程序继续执行调用Add()之后的代码
  
  esp+8使得形参x、y的空间被释放
  

• 下面一条指令把eax的值（就是z保存的值）赋值给ebp-20h处的内存（就是c），至此便完成了c=Add(a,b);这条代码
  

• 接着是调用库函数printf()，
  最后return 0返回上一级调用main()的函数，由于是基于同样的原理，就不再重复了。

希望本文对你对程序是如何执行的有了更深一层的认识，另外，由于作者水平非常有限，如果有错误，还请读者能帮我指出。