pop %esp和push %esp的研究

最新推荐文章于 2023-12-12 21:14:34 发布
最新推荐文章于 2023-12-12 21:14:34 发布
阅读量3.6k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/particleHorizon/article/details/78722683
版权
本文探讨了在x86-32架构下,pop %esp和push %esp指令在用户栈和内核栈跳转中的作用。pop %esp实现栈顶跳转,而push %esp则保存栈顶指针。同时,文章通过汇编代码示例验证了这两个指令的行为,并介绍了pusha和popa指令的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近看操作系统的代码,发现了利用pop %esp进行用户栈和内核栈之间的跳转,感觉挺有意思的,就研究了一下。其实这个问题本来不复杂,指令的设计方式蛮合理的,但是看了一下Intel的手册关于pop和push的描述反而把我弄晕了。
最后又仔细看了一下关于pop %esp和push %ebp的描述才明白,其实就是我一开始没看手册的时候想的那样。。。把intel手册上面对普通的pop和push的描述往push %esp和pop %esp上面套是我被弄晕的根本原因。(下面的叙述都基于x86-32)

  • 普通的popl DEST:
    DEST ← SS:ESP;
    ESP ← ESP + 4

  • 普通的pushl SRC
    ESP ← ESP – 4;
    Memory[SS:ESP] ← SRC

上面两个规则非常显然,根本不用解释,但是当你把DEST和SRC换成esp的时候,规则其实是不成立的。关于操作数是esp的情况,Intel手册上有特殊说明:
The POP ESP instruction increments the stack pointer (ESP) before data at the old top of stack is written into the destination.
The PUSH ESP instruction pushes the value of the ESP register as it existed before the instruction was executed. If a PUSH instruction uses a memory operand in which the ESP register is used for computing the operand address, the address of the operand is computed before the ESP register is decremented.
英文不好我就不翻译了,我觉得可以简单理解如下:
popl %esp=movl (%esp),%esp
pushl %esp=subl $4,%esp; leal 4(%esp),%eax; movl %eax,(%esp)**
这样一来,pop esp实现的是栈顶的跳转,push esp则相当于把新的栈顶变成了指向原来栈顶的指针。

另外还可以提一下pusha和popl指令,这两个指令分别把8个通用寄存器依次压栈和弹栈。其中特殊的还是esp寄存器。
对于pusha指令,相当于做了如下操作:
Temp ← (ESP);
Push(EAX);
Push(ECX);
Push(EDX);
Push(EBX);
Push(Temp);
Push(EBP);
Push(ESI);
Push(EDI);
需要注意的是轮到esp时,被压入的是pusha指令之前的栈顶地址。
对于popa指令,相当于做了如下操作:
EDI ← Pop();
ESI ← Pop();
EBP ← Pop();
Increment ESP by 4; (* Skip next 4 bytes of stack *)
EBX ← Pop();
EDX ← Pop();
ECX ← Pop();
EAX ← Pop();
需要注意的是轮到esp时,只是单纯的栈顶+4,对应内存里的数值并不会被弹出到esp中,否则地址会跳转。

下面写一段测试代码(AT&T汇编)验证一下:
64位环境下汇编和链接命令如下:
as -o push_pop_test.o push_pop_

最低0.47元/天 解锁文章
栈帧
yxysdcl的专栏
05-08 2万+
首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(地址地)。下图为典型的存取器安排,观察栈在其中的位置 入栈操作:push eax; 等价于 esp=esp-4,eax->[esp];如下图出栈操作:pop eax; 等价于 [e
esp,ebp,push,pop
drift_的专栏
04-14 479
看完就忘系列……记一下…… 在内存中,栈堆分别从高地址低地址相向生长,理论上是为了空间的有效利用,因为栈用的少了,堆就可以用的多点,反之亦然(当然如果两个碰头了怎么办?谁知道……) 栈从高地址向低地址生长,栈(帧)顶esp浮动,而栈(帧)底ebp固定。在进行push操作时,先esp=esp-8;再data->(esp)。 在函数调用时,先将调用者帧底(ebp)压栈,然后建立新的帧,即将当前帧顶(esp)赋予帧底(ebp)(mov %esp,%ebp;) ...
对于汇编代码pushl %ebp movl %esp,%ebp
XQ_sunny
12-15 9285
课本( P109 - P110 ) 源程序代码如下: int simple(int *xp, int y) {         int t = *xp + y;         *xp = t;         return t; }​ 汇编代码如下: simple:        pushl     %e bp          
move_to_user_mode()一个push esp的疑问
jmhIcoding
10-16 381
#define move_to_user_mode() \ __asm__ ( "movl %%esp,%%eax\n\t" \ "pushl $0x17\n\t" \ "pushl %%eax\n\t" \ "pushfl\n\t" \ "pushl $0x0
函数调用中esp ebp寄存器的变化
sjc2870的博客
06-19 1463
ebp(extended base pointer)寄存器存放当前栈帧的栈底,一般在函数内不会对ebp寄存器做变动 esp(extended stack pointer)寄存器存放当前栈帧的栈顶,会随着当前函数内栈空间的开辟而变动 首先我们要明确,push pop就是对esp的操作。 因为栈是从高地址向低地址出增长的,所以push是对esp进行减法,然后将操作数写到上述寄存器里的指针所指向的内存中。 pop是对esp进行加法:它先从栈指针指向的内存中读取数据,用以备用(通常是写到其他寄存器里),然后再将栈指
函数栈帧
松篁
10-28 205
转自:http://blog.csdn.net/yxysdcl/article/details/5569351 首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(地址地)。下图为典型的存取器安排,观察栈在其中的位置 入栈操作:push...
%eax为0x123 ,%edx为0, %esp为0x108,执行push %eax,pop %edx
06-19
当你看到`%eax`被设置为0x123(十进制的187),`%edx`为0,`%esp`为0x108(十六进制的432),执行`push %eax``pop %edx`操作时,我们可以这样理解: 1. **push %eax**:这是将`%eax`寄存器的内容(即0x123)压...
# int8 -- 双出错故障。 类型:放弃;有错误码。 # 通常当 CPU 在调用前一个异常的处理程序而又检测到一个新的异常时,这两个异常会被串行地进行 # 处理,但也会碰到很少的情况,CPU 不能进行这样的串行处理操作,此时就会引发该中断。 98 _double_fault: 99 pushl $_do_double_fault # C 函数地址入栈。 100 error_code: 101 xchgl %eax,4(%esp) # error code <-> %eax,eax 原来的值被保存在堆栈上。 102 xchgl %ebx,(%esp) # &function <-> %ebx,ebx 原来的值被保存在堆栈上。 103 pushl %ecx 104 pushl %edx 105 pushl %edi 106 pushl %esi 107 pushl %ebp 108 push %ds 109 push %es 110 push %fs 111 pushl %eax # error code # 出错号入栈。 112 lea 44(%esp),%eax # offset # 程序返回地址处堆栈指针位置值入栈。 113 pushl %eax 114 movl $0x10,%eax # 置内核数据段选择符。 115 mov %ax,%ds 116 mov %ax,%es 117 mov %ax,%fs 118 call *%ebx # 间接调用,调用相应的 C 函数,其参数已入栈。 addl $8,%esp # 丢弃入栈的 2 个用作 C 函数的参数。 120 pop %fs 121 pop %es 122 pop %ds 123 popl %ebp 124 popl %esi 125 popl %edi 126 popl %edx 127 popl %ecx 128 popl %ebx 129 popl %eax 130 iret 131 解释下这段话
07-25
101: `xchgl %eax,4(%esp)`: 交换 `%eax` 寄存器堆栈上偏移为 4 的位置的值,将 `%eax` 中的值保存在堆栈上。 102: `xchgl %ebx,(%esp)`: 交换 `%ebx` 寄存器堆栈顶部位置的值,将 `%ebx` 中的值保存在堆栈上。...
分析以下汇编代码080492d0 <phase_6>: 514 1 80492d0: 53 push %ebx 80492d1: 83 ec 0c sub $0xc,%esp 80492d4: 6a 0a push $0xa 80492d6: 6a 00 push $0x0 80492d8: ff 74 24 1c pushl 0x1c(%esp) 80492dc: e8 cf f6 ff ff call 80489b0 <strtol@plt> 80492e1: 89 c3 mov %eax,%ebx 80492e3: c7 04 24 74 c1 04 08 movl $0x804c174,(%esp) 80492ea: e8 8a ff ff ff call 8049279 <fun6> 80492ef: 8b 40 08 mov 0x8(%eax),%eax 80492f2: 8b 40 08 mov 0x8(%eax),%eax 80492f5: 8b 40 08 mov 0x8(%eax),%eax 80492f8: 8b 40 08 mov 0x8(%eax),%eax 80492fb: 8b 40 08 mov 0x8(%eax),%eax 80492fe: 83 c4 10 add $0x10,%esp 8049301: 39 18 cmp %ebx,(%eax) 8049303: 74 0d je 8049312 <phase_6+0x42> 8049305: 83 ec 0c sub $0xc,%esp 8049308: 6a 06 push $0x6 804930a: e8 59 05 00 00 call 8049868 <explode_bomb> 804930f: 83 c4 10 add $0x10,%esp 8049312: 83 c4 08 add $0x8,%esp 8049315: 5b pop %ebx 8049316: c3 ret
06-13
16. cmp %ebx, (%eax):将寄存器 ebx 的值地址为 eax 的值进行比较。 17. je 8049312 <phase_6+0x42>:如果比较结果为相等,则跳转到函数的结尾。 18. sub $0xc, %esp:将栈顶指针 esp 减去 12,为将来的数据预留...
把汇编代码转换成c代码: 8048c68: 57 push %edi 8048c69: 56 push %esi 8048c6a: 53 push %ebx 8048c6b: 8b 5c 24 10 mov 0x10(%esp),%ebx 8048c6f: 8b 7c 24 14 mov 0x14(%esp),%edi 8048c73: 85 db test %ebx,%ebx 8048c75: 7e 2b jle 8048ca2 <func4+0x3a> 8048c77: 89 f8 mov %edi,%eax 8048c79: 83 fb 01 cmp $0x1,%ebx 8048c7c: 74 29 je 8048ca7 <func4+0x3f> 8048c7e: 83 ec 08 sub $0x8,%esp 8048c81: 57 push %edi 8048c82: 8d 43 ff lea -0x1(%ebx),%eax 8048c85: 50 push %eax 8048c86: e8 dd ff ff ff call 8048c68 <func4> 8048c8b: 83 c4 08 add $0x8,%esp 8048c8e: 8d 34 07 lea (%edi,%eax,1),%esi 8048c91: 57 push %edi 8048c92: 83 eb 02 sub $0x2,%ebx 8048c95: 53 push %ebx 8048c96: e8 cd ff ff ff call 8048c68 <func4> 8048c9b: 83 c4 10 add $0x10,%esp 8048c9e: 01 f0 add %esi,%eax 8048ca0: eb 05 jmp 8048ca7 <func4+0x3f> 8048ca2: b8 00 00 00 00 mov $0x0,%eax 8048ca7: 5b pop %ebx 8048ca8: 5e pop %esi 8048ca9: 5f pop %edi 8048caa: c3 ret
最新发布
03-28
首先,我需要仔细分析汇编指令的结构功能,然后逐步还原出对应的C代码结构。让我先理清思路,确保每一步都正确。 首先,用户给出的汇编代码示例中有几个关键部分:数据段、主函数、循环条件判断。我需要逐一...
栈帧%ebp,%esp详解
weixin_33691817的博客
09-18 372
首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(地址地)。下图为典型的存取器安排,观察栈在其中的位置 入栈操作:push eax; 等价于 esp=esp-4,eax-&gt;[esp];如下图 出栈操作:pop eax; 等价于 [esp]-...
用两种方式实现代替 pop esp ,push esp
zdy8023的博客
01-13 1901
使用2种方式实现:push esp 第一种方式: mov dword ptr ss: [esp-4],esp sub esp,4 第二种方式: mov dword ptr ss:[esp-4],esp lea esp,dword ptr ss:[esp-4] 使用2种方式实现:pop esp...
【深入解释函数栈帧的创建销毁】||详细解析+图文分析
m0_57987831的博客
08-10 838
目录 前言 函数的调用栈帧过程的常用指令 实例讲解函数栈帧的创建销毁 1.保存上一个函数(__tmainCRTSARTUP)的栈帧 2.初始化本函数(main)的栈帧,通过esp来初始化ebp 3.对本函数预留的栈空间(包括本函数的临时变量空间)进行初始化为随机值 4.为局部变量开辟空间 5.函数传参(从右向左) 6.调用函数(call Add) 7.保存上一个函数(main)的栈帧 8.初始化本函数(Add)的栈帧 9.对本函数预留的栈空间(包括本函数的临时变量空间)进行初始化
学 Win32 汇编[18]: 关于压栈(PUSH)与出栈(POP) 之二
weixin_33769207的博客
04-11 187
由于 "栈" 是由高到低使用的, 所以新压入的数据的位置更低. ESP 中的指针将一直指向这个新位置, 所以 ESP 中的地址数据是动态的. 每次 PUSH, ESP = ESP - x; 每次 POP, ESP = ESP + x; 其中的 x 只能是 4 或 2, 因为 Win32 的 PUSH 只可以压入 32 位(默认)或 16 位的数据. ESP 有个名字叫 "栈顶", ...
计算机系统基础-汇编指令学习
axxdxzz的博客
12-12 1333
1.1 传送指令1.1 传送指令0x10的基址寄存器esp1.2 传送指令0x18的基址寄存器esp0x10的基址寄存器esp。
2017-11-15 深刻理解堆栈及PUSH POP指令
年轮的博客
11-15 5020
1、使用3种方式实现:pushecx mov ebx,0012ffc4 //栈顶 mov edx,0012ffe4  //栈底 sub ebx,4  mov dword ptr ds:[ebx],ecx      mov dword ptr ds:[ebx-4],ecx sub ebx,4   lea ebx,dword ptr ds:[ebx-4] mov dwor
C/C++函数调用过程分析
weixin_34092370的博客
07-20 397
这里以一个简单的C语言代码为例,来分析函数调用过程 代码: 1 #include &lt;stdio.h&gt; 2 3 int func(int param1 ,int param2,int param3) 4 { 5 int var1 = param1; 6 int var2 = param2; 7 int v...
计算机工作原理
u012311875的专栏
08-11 2916
本章重点介绍计算机的工作原理,具体涉及存储程序计算机工作模型、基本的汇编语 言,以及 C 语言程序汇编出来的汇编代码如何在存储程序计算机工作模型上一步步地执 行。其中重点分析了函数调用堆栈相关汇编指令,如 call/ret pushl/popl。 1.1 存储程序计算机工作模型 存储程序计算机的概念虽然简单,但在计算机发展史上具有革命性的意义,至今为 止仍是计算机发展史上非常有意义的发明。一台硬件有限的计算机或智能手机能安装各 种各样的软件,执行各种各样的程序,这在人们看起来都理...
对于ESP、EBP寄存器的理解
热门推荐
在路上的学习者
10-04 3万+
esp是栈指针,是cpu机制决定的,pushpop 会自动
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值