函数调用栈的过程

本文分析函数的调用过程中，栈的变化过程。

X86寄存器简介

寄存器名称	注释
eax	累加器，是很多加法、乘法的默认寄存器
ebx	基地址，内存寻址时，存放基地址
ecx	计数器，是重复前缀指令和LOOP指令的内定计数器
edx	存放整数除法产生的余数
esi	源索引寄存器，因为在很多字符串操作指令中，DS：ESI指向源串，而ES：EDI指向目标串
ebp	基址指针，常被用作高级语言函数调用时的“帧指针”（frame pointer）
esp	专门用作堆栈指针，被形象地称为栈顶指针，堆栈的顶部是地址小的区域，压入堆栈的数据越多，ESP也就越来越小。

文章常用汇编指令的理解

0x4(%esp)

把寄存器esp中的值取出，然后加上4，得到的值作为地址，间接寻址得到需要的数据
例如，

pushl -0x4(%ecx)

该指令的含义是取出寄存器ecx的值，减去4，将得到的值作为地址，在内存找到该地址对应的值，将其压入栈中。

lea 0x4(%esp)， %ecx

该指令的作用是，取出esp寄存器里的值，加上4，不再继续寻址，而是将得到值直接传递给ecx；如果是其他指令，则还需进行间接寻址，再传值。

call

首先将eip设置为本函数中call后的那条指令的地址（所有指令都有这步）。然后push %eip。（esp自减4，将eip的值存入esp指向的地址，最后子函数ebp+4出即存储了这一步保存的eip值）。然后将eip的值设置为被调用函数的第一调指令的地址。（最后cpu继续执行eip所指向地址的指令，虽然这不是call干的事）

leave

首先将esp指向ebp。然后pop %ebp.(将esp指向内存的值拷到ebp，esp自减4)。

ret

pop%eip(即先将esp指向的内存块的值拷贝到eip中，然后esp自减4)

函数栈帧结构

举例演示

简单的源代码：

#include<stdio.h>

int sum(int x, int y)
{
    int tmp = 0;
    
    tmp = x+y;
    return tmp;
}
 
int main()
{
    int a=10;
    int b=20;
    int ret=0;
 
    ret=sum(a,b);
    printf("ret=%d\n",ret);
    return 0;
}

利用反汇编工具 objdump 将执行文件生成汇编文件，其内容如下：

......
0804840b <sum>:
 804840b:   55                      push   %ebp                 // 把ebp寄存器的内容压入栈中，也就是保存栈帧寄存器
 804840c:   89 e5                   mov    %esp,%ebp            // 将esp中的内容拷贝到ebp中，也就是将帧指针指向栈指针
 804840e:   83 ec 10                sub    $0x10,%esp           // 调整栈指针，存放局部变量（栈顶增加了4*4字节的空间）
 8048411:   c7 45 fc 00 00 00 00    movl   $0x0,-0x4(%ebp)      // 局部变量tmp（0）的值存入栈底      
 8048418:   8b 55 08                mov    0x8(%ebp),%edx       // 取出x的值
 804841b:   8b 45 0c                mov    0xc(%ebp),%eax       // 取出y的值
 804841e:   01 d0                   add    %edx,%eax            // x+y的结果存入%eax寄存器中
 8048420:   89 45 fc                mov    %eax,-0x4(%ebp)      // x+y的结果存入局部变量tmp的地址处
 8048423:   8b 45 fc                mov    -0x4(%ebp),%eax      // x+y的结果存入%eax寄存器中
 8048426:   c9                      leave  
 8048427:   c3                      ret    

08048428 <main>:
 8048428:   8d 4c 24 04             lea    0x4(%esp),%ecx
 804842c:   83 e4 f0                and    $0xfffffff0,%esp
 804842f:   ff 71 fc                pushl  -0x4(%ecx)
 8048432:   55                      push   %ebp                 // 把ebp寄存器的内容压入栈中，也就是保存栈帧寄存器
 8048433:   89 e5                   mov    %esp,%ebp            // 将esp中的内容拷贝到ebp中，也就是将帧指针指向栈指针
 8048435:   51                      push   %ecx                 // 保护ecx寄存器的内容
 8048436:   83 ec 14                sub    $0x14,%esp           // 调整栈指针，存放局部变量（栈顶增加了5*4字节的空间）
 8048439:   c7 45 ec 0a 00 00 00    movl   $0xa,-0x14(%ebp)     // 局部变量a（10）的值存入栈底-20
 8048440:   c7 45 f0 14 00 00 00    movl   $0x14,-0x10(%ebp)    // 局部变量b（20）的值存入栈底-16地址处
 8048447:   c7 45 f4 00 00 00 00    movl   $0x0,-0xc(%ebp)      // 局部变量ret（0）的值存入栈底-12地址处
 804844e:   ff 75 f0                pushl  -0x10(%ebp)          // 向函数sum()的参数x传实参a(10)，并压栈
 8048451:   ff 75 ec                pushl  -0x14(%ebp)          // 向函数sum()的参数y传实参b(20)，并压栈
 8048454:   e8 b2 ff ff ff          call   804840b <sum>        // 调用sum()函数
 8048459:   83 c4 08                add    $0x8,%esp            // 调整栈顶位置（+8）,
 804845c:   89 45 f4                mov    %eax,-0xc(%ebp)      // 相加结果（30）存入局部变量ret（0）所在（栈底-12）地址中
 804845f:   83 ec 08                sub    $0x8,%esp            // 调整栈顶位置（-8）
 8048462:   ff 75 f4                pushl  -0xc(%ebp)           // 
 8048465:   68 00 85 04 08          push   $0x8048500
 804846a:   e8 71 fe ff ff          call   80482e0 <printf@plt>
 804846f:   83 c4 10                add    $0x10,%esp
 8048472:   b8 00 00 00 00          mov    $0x0,%eax
 8048477:   8b 4d fc                mov    -0x4(%ebp),%ecx
 804847a:   c9                      leave  
 804847b:   8d 61 fc                lea    -0x4(%ecx),%esp
 804847e:   c3                      ret    
 804847f:   90                      nop

下面我们通过图示的方法，展示函数调用的过程：

这里我们有几个假设条件：

1. 我们假设这儿的栈实现方式是 满栈，所谓的 满栈就是在压栈的时候，地址先自加4，然后再存储数值。另外一种方式就是 空栈，而空栈就是先存储值，然后再把地址加4。
2. 本文只研究 main和 sum之间的函数栈帧，对于 printf以及 main函数之前和之后的启动和结束代码不作研究；

相关文章：栈缓存溢出