函数栈帧的创建和销毁讲解

1.什么是函数栈帧？

函数栈帧就是函数调用过程中在程序的调用栈里开辟的空间，这些空间是用来存放：

(1).函数参数和函数返回值。

(2).临时变量（包括函数的非静态的局部变量以及编译器自动生产的其他临时变量）。

(3).保存上下文信息（包括在函数调用前后需要保持不变的寄存器）。

2.理解函数栈帧能够解决什么问题？

理解函数栈帧有什么用呢？

(1).局部变量是如何创建的？

(2).为什么局部变量不初始化值是随机的？

(3).函数调用时参数是如何传递的？传参的顺序是怎么样的？

(4).函数的实参和形参是什么关系？

(5).函数的返回值是如何带回的？

3.函数栈帧的创建和销毁解析

3.1.   什么是栈

栈（stack）是现代计算机程序里最为重要的概念之一，几乎每一个程序都使用了栈，没有栈就没有函 数，没有局部变量，也就没有我们如今看到的所有的计算机语言。

在经典的计算机科学中，栈被定义为一种特殊的容器，用户可以将数据压入栈中（入栈push），也可以将已经压入栈中的数据弹出（出栈，pop），但是栈这个容器必须遵守一条规则： 先入栈的数据后出栈（First In Last Out， FIFO）。就像叠成一叠的术，先叠上去的书在最下面，因此要最后才能取出。 在计算机系统中，栈则是一个具有以上属性的动态内存区域。程序可以将数据压入栈中，也可以将数据 从栈顶弹出。压栈操作使得栈增大，而弹出操作使得栈减小。 在经典的操作系统中，栈总是向下增长（由高地址向低地址）的。 在我们常见的i386或者 x86-64 下，栈顶由成为 esp 的寄存器进行定位的。

3.2  认识相关寄存器和汇编指令

相关寄存器

eax ：通用寄存器，保留临时数据，常用于返回值

ebx ：通用寄存器，保留临时数据

ebp ：栈底寄存器

esp ：栈顶寄存器

eip  ：指令寄存器，保存当前指令的下一条指令的地址

相关汇编语言

mov  ：数据转移指令

push ：数据入栈，同时 esp 栈顶寄存器也要发生改变

pop   ：数据弹出至指定位置，同时 esp 栈顶寄存器也要发生改变

sub   ：减法命令

add   ：加法命令

call    ：函数调用， 1 . 压入返回地址 2. 转入目标函数

jump ：通过修改 eip ，转入目标函数，进行调用

ret     ：恢复返回地址，压入 eip ，类似 pop eip 命令

3.3  解析函数栈帧的创建和销毁

3.3.1 预备知识

首先我们要先知道以下两点知识有助于我们理解函数栈帧：

（1）.每一次函数调用，都要为本次函数调用开辟空间，就是函数栈帧的空间。

  (2)   .这块空间的维护是使用了2个寄存器： esp 和 ebp ， ebp 记录的是栈底的地址， esp 记录的是栈顶的地址。

如图所示：

另外，函数栈帧的创建和销毁过程，在不同的编译器上实现的方法会有部分差异。

3.3.2 函数的调用堆栈

代码：

#include <stdio.h>
int Add(int x, int y)
{
int z = 0;
z = x + y;
return z;
}
int main()
{
int a = 3;
int b = 5;
int ret = 0;
ret = Add(a, b);
printf("%d\n", ret);
return 0;
}

这段代码，如果我们在 VS2019 编译器上调试，调试进入 Add 函数后，我们就可以观察到函数的调用堆栈

（右击勾选【显示外部代码】），如下图：

函数调用堆栈是反馈函数调用逻辑的，那我们可以清晰的观察到， main 函数调用之前，是由

invoke_main 函数来调用 main 函数。

在 invoke_main 函数之前的函数调用我们就暂时不考虑了。

那我们可以确定， invoke_main 函数应该会有自己的栈帧， main 函数和 Add 函数也会维护自己的栈 帧，每个函数栈帧都有自己的 ebp 和 esp 来维护栈帧空间。

那接下来我们从 main 函数的栈帧创建开始讲解：

3.3.3 转到反汇编

调试到 main 函数开始执行的第一行，右击鼠标转到反汇编

int main()
{
//函数栈帧的创建
00BE1820 push ebp
00BE1821 mov ebp,esp
00BE1823 sub esp,0E4h
00BE1829 push ebx
00BE182A push esi
00BE182B push edi
00BE182C lea edi,[ebp-24h]
00BE182F mov ecx,9
00BE1834 mov eax,0CCCCCCCCh
00BE1839 rep stos dword ptr es:[edi]
//main函数中的核心代码
int a = 3;
00BE183B mov dword ptr [ebp-8],3
int b = 5;
00BE1842 mov dword ptr [ebp-14h],5
int ret = 0;
00BE1849 mov dword ptr [ebp-20h],0
ret = Add(a, b);
00BE1850 mov eax,dword ptr [ebp-14h]
00BE1853 push eax
00BE1854 mov ecx,dword ptr [ebp-8]
00BE1857 push ecx
00BE1858 call 00BE10B4
00BE185D add esp,8
00BE1860 mov dword ptr [ebp-20h],eax
printf("%d\n", ret);
00BE1863 mov eax,dword ptr [ebp-20h]
00BE1866 push eax
00BE1867 push 0BE7B30h
00BE186C call 00BE10D2
00BE1871 add esp,8
return 0;
00BE1874 xor eax,eax
}

3.3.4 函数栈帧的创建

上图就是我们的main函数转化来的汇编代码

下面就让我们来拆解：

00 BE1820 push ebp // 把 ebp 寄存器中的值进行压栈，此时的 ebp 中存放的是

invoke_main 函数栈帧的 ebp ， esp-4

00BE1821 mov ebp, esp //move 指令会把 esp 的值存放到 ebp 中，相当于产生了 main 函数的

ebp ，这个值就是 invoke_main 函数栈帧的 esp 00 BE1823 sub esp , 0E4 h //sub 会让 esp 中的地址减去一个 16 进制数字 0xe4, 产生新的

esp ，此时的 esp 是 main 函数栈帧的 esp ，此时结合上一条指令的 ebp 和当前的 esp ， ebp 和 esp 之间维护了一

个块栈空间，这块栈空间就是为 main 函数开辟的，就是 main 函数的栈帧空间，这一段空间中将存储 main 函数

中的局部变量，临时数据已经调试信息等。

00BE1829 push ebx // 将寄存器 ebx 的值压栈， esp-4

00BE182A push esi // 将寄存器 esi 的值压栈， esp-4

00 BE182B push edi // 将寄存器 edi 的值压栈， esp-4

// 上面 3 条指令保存了 3 个寄存器的值在栈区，这 3 个寄存器的在函数随后执行中可能会被修改，所以先保存寄

存器原来的值，以便在退出函数时恢复。

// 下面的代码是在初始化 main 函数的栈帧空间。

//1. 先把 ebp-24h 的地址，放在 edi 中

//2. 把 9 放在 ecx 中

//3. 把 0xCCCCCCCC 放在 eax 中

//4. 将从 edp-0x2h 到 ebp 这一段的内存的每个字节都初始化为 0xCC

00BE182C lea edi,[ebp-24h]

00BE182F mov ecx,9

00BE1834 mov eax,0CCCCCCCCh

00BE1839 rep stos dword ptr es:[edi]

上面的这段代码最后 4 句，等价于下面的伪代码：

edi = ebp-0x24;

ecx = 9;

eax = 0xCCCCCCCC;

for(; ecx = 0; --ecx,edi+=4)

{

*(int*)edi = eax;

}

烫烫烫 ~

之所以上面的程序输出 “ 烫 ” 这么一个奇怪的字，是因为 main 函数调用时，在栈区开辟的空间的其中每一 个字节都被初始化为0xCC ，而 arr 数组是一个未初始化的数组，恰好在这块空间上创建的， 0xCCCC （两 个连续排列的0xCC ）的汉字编码就是 “ 烫 ” ，所以 0xCCCC 被当作文本就是 “ 烫 ” 。

接下来我们再分析 main 函数中的核心代码：

---

int a = 3;

00BE183B mov dword ptr [ebp-8],3 // 将 3 存储到 ebp-8 的地址处， ebp-8 的位置其实就

是 a 变量

int b = 5;

00BE1842 mov dword ptr [ebp-14h], 5 // 将 5 存储到 ebp-14h 的地址处， ebp-14h 的位置

其实是 b 变量

int ret = 0;

00BE1849 mov dword ptr [ebp-20h], 0 // 将 0 存储到 ebp-20h 的地址处， ebp-20h 的位

置其实是 ret 变量

// 以上汇编代码表示的变量 a,b,ret 的创建和初始化，这就是局部的变量的创建和初始化

// 其实是局部变量的创建时在局部变量所在函数的栈帧空间中创建的

// 调用 Add 函数

ret = Add(a, b);

// 调用 Add 函数时的传参

// 其实传参就是把参数 push 到栈帧空间中

00BE1850 mov eax,dword ptr [ebp-14h ] // 传递 b ，将 ebp-14h 处放的 5 放在 eax 寄存器

中

00BE1853 push eax // 将 eax 的值压栈， esp-4

00BE1854 mov ecx,dword ptr [ebp-8 ] // 传递 a ，将 ebp-8 处放的 3 放在 ecx 寄存器中

00BE1857 push ecx // 将 ecx 的值压栈， esp-4

// 跳转调用函数

00BE1858 call 00BE10B4

00BE185D add esp,8

00BE1860 mov dword ptr [ebp-20h], eax

Add 函数的传参：

// 调用 Add 函数

ret = Add(a, b);

// 调用 Add 函数时的传参

// 其实传参就是把参数 push 到栈帧空间中，这里就是函数传参

00BE1850 mov eax,dword ptr [ebp-14h] // 传递 b ，将 ebp-14h 处放的 5 放在 eax 寄存器

中

00BE1853 push eax // 将 eax 的值压栈， esp-4

00BE1854 mov ecx,dword ptr [ebp-8 ] // 传递 a ，将 ebp-8 处放的 3 放在 ecx 寄存器中

00 BE1857 push ecx // 将 ecx 的值压栈， esp-4

// 跳转调用函数

00BE1858 call 00BE10B4

00BE185D add esp,8

00BE1860 mov dword ptr [ebp-20h],eax

函数调用过程：

// 跳转调用函数

00BE1858 call 00BE10B4

00BE185D add esp,8

00BE1860 mov dword ptr [ebp-20h],eax

call指令是要执行函数调用逻辑的，在执行 call 指令之前先会把 call 指令的下一条指令的地址进行压栈操作，这个操作是为了解决当函数调用结束后要回到call 指令的下一条指令的地方，继续往后执行。

当我们跳转到 Add 函数，就要开始观察 Add 函数的反汇编代码了。

int Add(int x, int y)

{

00 BE1760 push ebp // 将 main 函数栈帧的 ebp 保存 ,esp-4

00BE1761 mov ebp, esp // 将 main 函数的 esp 赋值给新的 ebp ， ebp 现在是 Add 函数的 ebp

00BE1763 sub esp,0 CCh // 给 esp-0xCC ，求出 Add 函数的 esp

00BE1769 push ebx // 将 ebx 的值压栈 ,esp-4

00 BE176A push esi // 将 esi 的值压栈 ,esp-4

00 BE176B push edi // 将 edi 的值压栈 ,esp-4

int z = 0;

00BE176C mov dword ptr [ebp-8], 0 // 将 0 放在 ebp-8 的地址处，其实就是创建 z

z = x + y;

// 接下来计算的是 x+y ，结果保存到 z 中

00BE1773 mov eax,dword ptr [ebp+8 ] // 将 ebp+8 地址处的数字存储到 eax 中

00BE1776 add eax,dword ptr [ebp+0Ch ] // 将 ebp+12 地址处的数字加到 eax 寄存中

00BE1779 mov dword ptr [ebp-8], eax // 将 eax 的结果保存到 ebp-8 的地址处，其实

就是放到 z 中

return z;

00BE177C mov eax,dword ptr [ebp-8 ] // 将 ebp-8 地址处的值放在 eax 中，其实就是

把 z 的值存储到 eax 寄存器中，这里是想通过 eax 寄存器带回计算的结果，做函数的返回值。

}

00BE177F pop edi

00BE1780 pop esi

00BE1781 pop ebx

00BE1782 mov esp,ebp

00BE1784 pop ebp

00BE1785 ret

代码执行到 Add 函数的时候，就要开始创建 Add 函数的栈帧空间了。

在 Add 函数中创建栈帧的方法和在 main 函数中是相似的，在栈帧空间的大小上略有差异而已。

1. 将 main 函数的 ebp 压栈

2. 计算新的 ebp 和 esp

3. 将 ebx ， esi ， edi 寄存器的值保存

4. 计算求和，在计算求和的时候，我们是通过 ebp 中的地址进行偏移访问到了函数调用前压栈进去的参数，这就是形参访问。

5. 将求出的和放在 eax 寄存器尊准备带回

图片中的 a' 和 b' 其实就是 Add 函数的形参 x , y 。这里的分析很好的说明了函数的传参过程，以及函数在进行值传递调用的时候，形参其实是实参的一份拷贝。对形参的修改不会影响实参。

3.3.5 函数栈帧的销毁

当函数调用要结束返回的时候，前面创建的函数栈帧也开始销毁。

那具体是怎么销毁的呢？我们看一下反汇编代码。

00 BE177F pop edi // 在栈顶弹出一个值，存放到 edi 中， esp+4

00 BE1780 pop esi // 在栈顶弹出一个值，存放到 esi 中， esp+4

00 BE1781 pop ebx // 在栈顶弹出一个值，存放到 ebx 中， esp+4

00BE1782 mov esp, ebp // 再将 Add 函数的 ebp 的值赋值给 esp ，相当于回收了 Add 函数的栈

帧空间

00 BE1784 pop ebp // 弹出栈顶的值存放到 ebp ，栈顶此时的值恰好就是 main 函数的 ebp ，

esp+4 ，此时恢复了 main 函数的栈帧维护， esp 指向 main 函数栈帧的栈顶， ebp 指向了 main 函数栈帧的栈底。

00 BE1785 ret //ret 指令的执行，首先是从栈顶弹出一个值，此时栈顶的值就是 call 指

令下一条指令的地址，此时 esp+4 ，然后直接跳转到 call 指令下一条指令的地址处，继续往下执行。

回到了 call 指令的下一条指令的地方：

也就是说add函数调用完毕，继续执行mian函数，函数的返回值会存放在寄存器eax中被读取。

4.拓展了解

其实返回对象是内置类型时，一般都是通过寄存器来带回返回值的，返回对象如果是较大的对象时，一 般会在主调函数的栈帧中开辟一块空间，然后把这块空间的地址，隐式传递给被调函数，在被调函数中通过地址找到主调函数中预留的空间，将返回值直接保存到主调函数的。