过堆栈调用解析多线程
过堆栈调用解析多线程
首先说明一下,堆是进程的全局数据内存存储区,栈是函数的局部数据内存存储区。由于大多数书籍在介绍堆或栈时,皆以堆栈泛指,因此,题目标题亦如此表述,希望读者不要混淆就是了。
初见标题,也许有人觉得奇怪,多线程和堆栈有关系吗?初学多线程,很多概念难以辨清。要全面深入理解多线程,必须对栈有十分清楚的理解。个人感觉在Windows编程中,栈的概念犹如C/C++中的指针,非常重要,但难于全面理解。市面上的书籍对堆栈的介绍或是蜻蜓点水、浮于表面;或是过于理论化,不够具体,不易理解。在这里,我以示例的形式将自己的一点学习体会写出来与大家分享。为了便于表述清楚,文章分为两部分:第一部分介绍栈的调用,这是此篇文章的核心。第二部分解析多线程的概念。
一、栈的调用
众所周知,在函数调用过程中,参数的传递是通过栈完成的,具体到机器码是什么样子呢?不同的调用约定(PASCAL约定或STDCALL约定等)将导致不同的参数压栈顺序,这些细节就略去不讲了,有兴趣的读者可以参考相关书目。为了把栈的概念表述清楚,这里将涉及到一些简单的汇编语言方面的知识,一点点而已。然后以一个简单的C++控制台程序为示例来进一步详细说明。先把代码列出来,够简单吧。
#include<iostream.h>
int fn(int n)
{
n+=1;
return n;
}
void main()
{
int i=1,j=10;
i=fn(i); // A
j=fn(j); // B
cout<<i<<" "<<j<<endl;
}
现在我们需要一点汇编方面的知识,以更好地了解栈是个什么东东。通俗一点讲,栈就是一块内存存储区,但是,这块内存存储区的操作使用有点特别。栈是由CPU直接管理的内存数组,CPU使用寄存器对其进行管理。ESP寄存器存放栈底(栈是向下增长的)数据的地址。push指令将数据压入栈中,ESP寄存器的值将随之减小;相反,pop指令将数据从栈底弹出,ESP寄存器的值随之增大。这样,ESP寄存器将始终存放栈底数据的地址。另一方面呢,CPU在执行代码的时候,完全是依靠CPU内部的寄存器完成的。通过EIP寄存器寻找当前要执行的代码,通过EBP、ESP定位函数参数的地址、函数局部变量,等等等等。
下面让我们看一下,当某一个函数被调用时,栈将有何变动。
(l)、函数参数被压入栈中。
(2)、返回地址(被调用函数执行完后将被执行的语句地址)被压入栈中,函数被调用,此时,CPU将准备执行函数体内的代码。
(3)、函数代码开始执行,首先执行的是将EBP压入栈中。
(4)、使EBP的值等于ESP。现在,EBP纪录的是当前栈底地址(ESP),以后函数就可以利用EBP对压栈的函数参数进行寻址了(此时已压栈的有函数参数、返回地址、EBP原始值)。
(5)、从ESP中减掉一定的数值,为函数留下局部变量空间。此后,ESP将用于局部变量的寻址。
编译器设计者的聪明才智真是令人敬佩。高级语言书写简单的一句函数调用,被编译成了如此繁杂的机器代码。
好了,下面我们再具体一点,以前面的C++程序为例,以VC反汇编断点调试的方式,看看以上过程是如何实现的。
在A处,进程的主线程调用了函数fn并传递了参数。其汇编代码如下:
004010B6 mov eax,dword ptr [ebp-4] //此时ebp=0x0012ff80,&i=0x12ff7c,ebp-4为i的地址
004010B9 push eax
004010BA call @ILT+20(fn) (00401019)
再明显不过了,第一行汇编代码将变量i的数值放入寄存器eax中。第二行汇编代码将变量i的数值压入栈中,对应前面(1)。第三行汇编代码执行call指令,此条指令自动将返回地址压入栈中,然后,跳转到函数体内部,准备执行函数内部的代码,对应前面(2)。
现在我们再来看看函数内部的代码是什么样子。这里只截取部分相关代码。
2: int fn(int n)
3: {
00401050 push ebp
00401051 mov ebp,esp
… … … …
4: n+=1;
00401068 mov eax,dword ptr [ebp+8] //此时ebp=0x12ff20 &n=0x12ff28 eax=1
0040106B add eax,1
0040106E mov dword ptr [ebp+8],eax
第一行汇编代码对应前面(3)。第二行汇编代码对应前面(4)。第三行汇编代码将变量n的数值放入寄存器eax中。第四行汇编代码将其加一。第五行汇编代码将结果放回变量n。这里可以十分清楚地看到,EBP寄存器用于参数的寻址。
现在我们再看看B处函数调用的情况。
004010C5 mov ecx,dword ptr [ebp-8] //此时ebp=0x12ff80,&j=0x12ff78 ,ebp-8为j的地址
004010C8 push ecx
004010C9 call @ILT+20(fn) (00401019)
可以看到,除了压栈数值变化以外,没有其它不同了。A处压栈i,B处压栈j。
下面使用VC单步调试,再来看函数体内部,汇编代码没有任何不同,不同的只是栈。当然了,函数体的代码是编译器一次性编译的。即使被多次调用,去完成不同的工作,不同的只是参数(调用栈),函数内部使用间接寻址,只是相同的机器码操作不同的内存存储区而已。
2: int fn(int n)
3: {
00401050 push ebp
00401051 mov ebp,esp
… … … …
4: n+=1;
00401068 mov eax,dword ptr [ebp+8] //此时ebp=0x12ff20 &n=0x12ff28 eax=10
0040106B add eax,1
0040106E mov dword ptr [ebp+8],eax
到了这里,栈的概念就讲完了。
二、解析多线程
这里首先要明确一点:每一个线程都独立拥有一个栈。
我们知道,Windows系统是一个多任务操作系统,多个线程可以“同时”执行。前面讲到,CPU执行程序代码完全依靠各种寄存器。当一个线程将被挂起时,当前的各种寄存器的数值就被存储在了线程的栈中。当CPU重新执行此线程时,将从栈中取出寄存器的数值,接着运行,好像这个线程从来就没有被打断过一样。正是因为每个线程都有一个独立的栈,使线程拥有了可以“闭门造车”的能力。只要将参数传递给线程的栈,CPU将担负起这块内存存储区的管理工作,并适时地执行线程函数代码对其进行操作,所有这一切与前面所讲述的没有不同。当系统在多个线程间切换时,CPU将执行相同的代码操作不同的栈。
下面举一个例子来加深理解。
随着面向对象编程方法的普及,我们很乐意将任何操作都包装成为一个类。线程函数也不例外,以静态函数的形式将线程函数放在类中是C++编程普遍使用的一种方法。通常情况下对象包括属性(类变量)与方法(类函数)。属性指明对象自身的性质,方法用于操作对象,改变它的属性。现在有一个小问题要注意了。类的静态函数只能访问类的静态变量,而静态变量是不属于单个对象的,他存放在进程的全局数据存储区。一般情况下,我们希望每个对象能够“独立”,也就是说,多个对象能够各自干各自的工作,不要相互打扰。如果以通常的方法,以类(静态)变量存储对象的属性,可就要出问题了,因为类(静态)变量不属于单个对象。现在怎么办呢?如何继续保持每个对象的“独立性”。解决的方法就是使用栈,将参数传递给线程函数的局部变量(栈存储区),以单个对象管理每个线程,问题就解决了。当然了,解决方法是多种多样的,这里只是为了进一步解释多线程与对象的关系。
由于Windows的内部实现实在是太复杂了,这里只是在应用的层面上对栈给出解释。若深入到Windows内部,栈的定位首先需要依据寄存器SS经由(全局或局部)段描述符表得到相应的线性地址(虚拟地址)基址,此基址与EIP相加,然后再经由分页机制寻址物理内存。有兴趣的读者可以参阅文章后面的参考书目。一点学习体会写出来与大家分享,有不对的地方,欢迎指正。
参考书目:
《Intel汇编语言程序设计》(第四版),作者:Kip R.Irvine,电子工业出版社翻译出版。
《Windows环境下32位汇编语言程序设计》,作者:罗云彬,电子工业出版社出版。