系统栈工作原理：参考自《0day安全：软件漏洞分析技术（第2版）》

参考资料

本文的内容主要是对《0day安全：软件漏洞分析技术（第2版）》的摘录与总结，读者可阅读原著以了解更加详细的信息。

一、内存分区

不同的操作系统、不同的计算机架构，其进程使用的内存按照功能大致可以分为以下4个部分（这是一个进程所拥有的内存空间，后面的着重介绍的函数调用是进程中的函数调用，属于进程执行的一部分）：

1.代码区：存储被装入执行的二进制代码，处理器会到这个区域取指令并执 行
2.数据区：用于存储全局变量等
3.堆区：进程可以在堆区动态地申请一定大小的内存，用完之后可以归还给堆区。动态分配和回收是堆区的主要特点
4.栈区：用于存储函数之间的调用关系，以保证被调函数在执行完后能够正确地返回母函数继续执行（后续介绍的重点）

二、系统栈与函数调用栈

关于栈的概念这里不作介绍，读者注意区分这里所描述的系统栈和平时编程所实现的“栈数据结构”之间的不同

1.系统栈是进程执行时的一个内存空间，具有后进先出的特点
2.系统栈中包含一个一个的函数栈帧，每当执行一个函数调用，系统就会为该函数调用创建一个栈帧，并将该次函数调用的一系列信息压入该栈帧（具体操作后续会描述）

以下是一个简单的函数调用的例子

// 定义两个简单的函数 展示函数之间的调用过程中系统栈的变化
int fun_B(int b1, int b2)
{
	int ret_B = b1 * b2;
	return ret_B;
}
int fun_A(int a1, int a2)
{
	int ret_A = fun_B(a1, a2);
	return ret_A;
}

int main()
{
	int ret_M = fun_A(3, 4);
	return 0;
}

以下是函数调用的简单描述：
1.系统栈为main函数分配一个栈帧用于main函数的执行（注意：main函数并不是第一个被调用的函数，这里为了简化说明，直接从main函数调用开始描述）
2.当执行到fun_A处时，首先往自己的栈帧中压入函数返回地址，然后为fun_A创建新的栈帧并压入系统栈（关于函数返回地址等概念后续会详细描述，这里只需把握整体的函数调用过程）
3.在fun_A执行到fun_B处时，同样，先往自己的栈帧中压入函数返回地址，然后为fun_B创建新的栈帧（每个栈帧之间是独立的，一般不会和其他的函数共享）
4.fun_B执行完后，fun_B的栈帧被弹出系统栈，此时fun_A栈帧中的函数返回地址处于栈顶，处理器按照这个地址重新调到fun_A代码区执行
5.fun_A执行完后，与上一步描述的一样，不再赘述
6.main函数继续执行直到程序结束

三、函数调用、返回与栈帧的变化

以下内容是函数调用过程中，系统栈和函数栈帧的具体变化，需要结合前面整体的调用过程来理解

1.相关寄存器

1.ESP 栈指针寄存器（Extended Stack Pointer）：内部存放一个指针，该指针永远指向系统栈最上面一个栈帧的栈顶
2.EBP 基址指针寄存器（Extended Base Pointer）：内部存放一个指针，该指针永远指向系统栈最上面一个栈帧的栈底
3.EIP 指令寄存器（Extended Instruction Pointer）：内部存放一个指针，该指针永远指向下一条等待执行的指令地址
4.EAX 累加寄存器 （Extended Accumulator Register）：通常将函数的返回值保存在该寄存器中（注意是返回值而不是返回地址）

2.函数调用约定

为了简化起见，这里统一使用__stdcall这种调用方式，关于函数调用约定的详细信息可以参考前面提到的原著

3.函数调用大致步骤

1.参数入栈：将参数从右往左依次压入栈中（__stdcall函数调用约定）
2.函数返回地址入栈：将当前代码区调用指令的下一跳指令地址压入栈中，以便函数返回时继续执行
3.代码区跳转：处理器从当前代码区跳转到被调用函数的入口处
4.栈帧调整：
（1）保存当前栈帧的状态值，以便后面恢复本栈帧（EBP入栈）
（2）将当前栈帧切换到新栈帧（将ESP的值装入EBP，更新栈帧底部）
（3）给新栈帧分配空间（ESP减去所需的空间大小，抬高栈顶）注：系统栈的内存地址是从高地址向低地址生长

相关的指令序列（原书插图，__stdcall函数调用约定）：

函数调用时系统栈的变化过程（原书插图）：
过程简介：
1.将被调函数的参数从右往左（__stdcall函数调用约定）压入当前的函数栈帧，注意ESP上移（ESP中的地址永远指向系统栈最上面栈帧的栈顶）
2.将当前函数的返回地址压入当前函数栈帧
3.将当前栈帧的EBP中保存的值压入栈帧，以便被调函数返回时恢复当前栈帧（这里的EBP值将属于新创建的函数栈帧）
4.将当前栈帧的ESP中的值赋予EBP，使得EBP指向新函数栈帧的栈底（指向上一步压入栈帧中的旧栈帧的EBP值）
5.ESP根据新创建的函数栈帧的大小上移，指向新函数栈帧的栈顶
注：
（1）根据前文的内容可知ESP和EBP是寄存器，其中存放的是地址信息，这里的上移操作是指改变寄存器中存放的地址值，使其指向低地址
（2）这里将EBP和ESP之间的部分作为一个独立的栈帧，可知从下往上，一个栈帧的内容依次为：
a.前一个栈帧的EBP中保存的地址值
b.相关指令操作
c.被调函数的参数
d.当前函数的返回地址

4.函数返回大致步骤

1.保存返回值：通常将函数的返回值保存在EAX寄存器中
2.弹出当前栈帧，恢复上一个栈帧
（1）在堆栈平衡的基础上，给ESP加上栈帧的大小，降低栈顶，回收当前栈的空间注：系统栈的内存地址是从高地址向低地址生长
（2）将当前栈帧底部保存的前栈帧EBP值弹入EBP寄存器，恢复出上一个栈帧
（3）将函数的返回地址弹入EIP寄存器
3.跳转：按函数返回地址跳转到母函数中继续执行

相关的指令序列（原书插图，__stdcall函数调用约定）：

四、总结

1.进程执行时，每个进程的内存主要分为四个部分：
（1）代码区
（2）数据区
（3）栈区
（4）堆区
2.系统栈中包含了一个个函数的调用栈（函数栈帧），系统栈通过维护ESP、EBP、EIP等寄存器中的值来完成函数之间的调用关系，其中ESP和EBP用来维护一个独立的函数栈帧