【C语言初阶】函数栈帧的创建与销毁

本篇文章，博主所使用的环境是VS2013，建议在学习函数栈帧的创建与销毁不要使用太高级的编译器，越高级的编译器，越不容易观察函数栈帧创建与销毁的过程。同时函数栈帧的创建和销毁的过程在不同的编译器下，它的创建和销毁是略有差异的，大体逻辑是一致的，具体细节取决于编译器的实现。

在了解函数栈帧的创建与销毁之前我们先了解一下什么是函数栈帧。

每一个函数调用，都要在栈区上创建一个空间，而在栈区上为函数创建的空间就叫做函数栈帧

接下来我们就开始学习函数栈帧的创建和销毁吧。

铺垫：
1.寄存器：
eax
ebx
ecx
edx
ebp
esp
重点是esp和ebp这两个寄存器，这两个寄存器中存放的是地址，是用来维护函数栈帧的。
栈帧的维护如下：

下面会进行详细讲解：

接下来我们用一个简单的代码来进行讲解：

int Add(int x,int y)
{
	int z = 0;
	z = x + y;
	return z;
}
int main()
{
	int a = 10;
	int b = 20;
	int c = 0;
	
	c = Add(a,b);
	printf("%d\n",c);
	return 0;
}

调试程序查看堆栈：

从上图可以看出，在vs2013中，main函数是被__tmainCRTStartup函数调用的，而__tmainCRTStartup函数是被mainCRTStartup函数调用的，所以两者也都要在栈区开辟空间

接着转到反汇编：

接下来我们对函数栈帧的创建和销毁一步一步进行说明：
1、调用main()函数之前：
我们上方说到main函数是被__tmainCRTStartup函数调用的，所以首先为__tmainCRTStartup函数开辟空间并且进行维护，如图：

2.main函数栈帧的创建：
main函数栈帧的创建过程：
第一步：
调用反汇编的第一条指令：

009214F0  push        ebp  

push是压栈的意思：将ebp进行压栈处理（把ebp放入栈顶），压栈后，esp自动指向栈顶：

第二步
调用第二条指令：

009214F1  mov         ebp,esp  

mov是赋值的意思：将esp的值给ebp,此时产生新的ebp,即ebp指向esp指向的位置：

第三步：
第三条指令：

009214F3  sub         esp,0E4h  

sub为减的意思，将esp-0E4h的值赋给esp,且函数调用分配由高地址向低地址增长，因此esp向上移动，即开辟了新空间：

第四步

009214F9  push        ebx  
009214FA  push        esi  
009214FB  push        edi 

三个push压栈，分别将ebx,esi,edi按顺序压入栈顶，而esp也会自动指向栈顶：

第五步：

009214FC  lea         edi,[ebp+FFFFFF1Ch]  //[ebp+FFFFFF1Ch]==[ebp-0E4h] 
00921502  mov         ecx,39h  
00921507  mov         eax,0CCCCCCCCh  
0092150C  rep stos    dword ptr es:[edi] 

lea的意思是加载有效地址：将ebp-0E4h的有效地址加载到edi中；
第二句的意思是：把39h放到ecx中去；
第三句的意思是：把0CCCCCCCCh 的值放到ecx中去
最后一句的意思是：从edi的位置开始，把eax里的内容按4个字节拷贝ecx次，放到edi向下的位置（即把main函数栈帧里的内容全部初始化为0CCCCCCCCh ）：

第六步：
接下来看下面三句指令：

把10放到epb-8的位置(图中的0Ah就是十六进制的10)；
把20放到epb-14h的位置（14h是十六进制的20）；
把0放到epb-20h的位置。

我们来看看它们在内存中是如何存储的：

所以它们在栈区上存储的位置如图：

第七步：
我们对abc三个变量初始化完成之后，接下来走到Add函数，调用Add函数又要为其开辟栈帧，还有进行传参操作，接下来我们来看看它们在内存中究竟是如何进行操作的吧！

00EF1523  mov         eax,dword ptr [ebp-14h]  
00EF1526  push        eax  
00EF1527  mov         ecx,dword ptr [ebp-8]  
00EF152A  push        ecx 
00EF152B  call        00EF1226  
00EF1530  add         esp,8  
00EF1533  mov         dword ptr [ebp-20h],eax  

1.把ebp-14h所在地址的值，也就是b的值，放入eax这个寄存器中，然后对eax进行压栈；

2、然后把ebp-8所在地址的值，也就是a的值，放入ecx这个寄存器中，然后接着对ecx进行压栈；
其实这两步在进行传参操作

3.call的作用是调用函数区：将下一条指令的地址压栈，然后进入add函数里面。
这里为什么要将call指令的下一条指令的地址进行压栈呢？
因为当Add函数调用完之后，需要返回来，而返回来之后需要继续执行call指令的下一条指令，所以需将call指令的下一条指令的地址进行压栈。

此时main函数的栈帧就会变得如图所示，esp也自动指向栈顶

接着按F11进入Add函数中：
看Add函数的汇编代码：

我们可以看出，Add函数的汇编代码上半部分，和main函数中的前半部分极为相似，其实这与main函数一样，为Add函数开辟函数栈帧
如图：

然后接着往下走：

把ebp-8所指向的空间初始化为0，即创建变量z
然后ebp+8所指向的空间里的内容(a的值)赋给eax
接着把ebp+och所指向的空间里的内容(b的值)加到eax中去
然后再把eax里的值给ebp-8里去，即赋给z

如图：

其实在这里x就是ecx里的10，y就是eax里的20。
这也说明了，形参是实参的一份临时拷贝，而且传参的时候，先传b,再传a。

这样就完成了相加的过程。

接下来就是要将相加的值返回去，也就是返回z的值。
我们来看看是如何返回的：

首先把ebp-8里的值(z的值)放到eax寄存器里面去。因为函数调用完后，而为函数所开辟的函数栈帧会被销毁，但寄存器不会随着程序的退出而销毁，所以这样就可以将值返回去。

然后接着看下面的指令：

三个pop: pop是出栈操作，将edi esi ebx依次从上向下出栈，esp自动下移动。
然后将ebp值赋给esp,也就是esp向下移动到指向main函数的ebp的位置，此时add开辟的栈空间已经销毁
如图：

然后接着pop ebp：弹出ebp，也就是说此时的ebp返回到main函数的栈底，此时我们就返回到main函数的栈帧
当执行ret后，程序就会返回到我们上文所说的call指令的下一条指令，这也就是为什么上文会将call指令的下一条指令的地址进行压栈。执行完之后，这个地址也将会出栈：

返回到main函数之后，继续执行call指令的下一条指令：

把esp+8,即esp向下移，把形参销毁
然后把eax里的值(30)放到ebp-20h©中

最后就是打印C的值，然后main结束之后销毁main函数的栈帧：

总结：
学习完函数栈帧的创建与销毁后，我们就可以清楚的知道，局部变量是如何创建的，为什么局部变量的值是随机的，以及函数是如何传参的，传参顺序如何，还有函数调用后是如何返回的。这些问题都迎刃而解了。