函数栈帧的创建和销毁

文章目录

• • 一、什么是函数栈帧
  • 二、ESP、EBP、栈的概念
  • •  1、栈的概念
    •  2、ESP和EBP
    •  3、认识汇编指令和其他寄存器
  • 三、通过编译器了解栈帧的创建和销毁
  • •  1、函数的调用堆栈
    •  2、准备环境和反汇编
    •  3、转到反汇编
    • •  （1）为main函数创建栈帧
      •  （2）进入其他函数创建栈帧
      •  （3）销毁Add函数栈帧
    • 4、总结几个问题

一、什么是函数栈帧

 
 比如我们在C语言中的学习中，都会创建一个main函数以及其他拥有独立功能的函数。
 在这个函数调用过程中，内存中会有一块区域，用来实现程序的函数调用里的功能，这块区域我们可以叫函数栈（或调用栈）。每个未退出的函数都会在函数栈（或调用栈）开辟一块数据区，就是函数栈帧。
 
 接下来在VS2019的环境下主要通过反汇编观察在函数调用时，函数栈发生了什么，从而了解到函数栈帧的创建和销毁。
 
 不过在此前先让我们认识下一些概念。

二、ESP、EBP、栈的概念

 1、栈的概念

 栈是一种先入后出（或是后入先出）的结构，通常入栈（push）和出栈（pop）操作的一端称为栈顶，另一端称为栈底。
 
 可以形象的理解为"一堆书"，每次入栈就是再添加一本书在最上面，这个时候高度top也会+1。
 
 而在计算机中，栈则是一个具有以上属性的动态内存区域。程序可以将数据压入栈中，也可以将数据
从栈顶弹出。压栈操作使得栈增大，而弹出操作使得栈减小。
 并且在压数据入栈时，是先从高地址开始压，再向低地址的。
 

 2、ESP和EBP

• esp 栈指针寄存器(extended stack pointer)，其内存放着一个指针，该指针记录着栈顶的地址。
• ebp 基址指针寄存器(extended base pointer)，其内存放着一个指针，该指针记录着栈底的地址。

 3、认识汇编指令和其他寄存器

其他寄存器：

• eax：通用寄存器，保留临时数据，常用于返回值
• ebx：通用寄存器，保留临时数据
• eip：指令寄存器，保存当前指令的下一条指令的地址

汇编指令：

• mov：数据转移指令
• push：数据入栈，同时esp栈顶寄存器也要发生改变
• pop：数据弹出至指定位置，同时esp栈顶寄存器也要发生改变
• sub：减法命令
• add：加法命令
• call：函数调用，1. 栈中压入返回地址 2. 转入目标函数
• jump：通过修改eip，转入目标函数，进行调用
• ret：恢复返回地址，压入eip，类似pop eip命令（回到原来call时栈中压入的地址，并且会pop栈中这个地址）

三、通过编译器了解栈帧的创建和销毁

 1、函数的调用堆栈

接下来我们通过这段代码在VS2019进行演示。

#include<stdio.h>

int Add(int x, int y) {
	int z = 0;
	z = x + y;
	return z;
}

int main() {
	int a = 10;
	int b = 20;
	int c = 0;
	c = Add(a, b);
	printf("%d", c);
	return 0;
}

首先通过F11调用，从main函数开始调用，然后在调试窗口中找到调用堆栈。

这个时候我们可以看到调用堆栈窗口的出现
通过双击 function.exe!invoke_main()

我们可以清晰的看到，原来在main是由invoke_main 函数调用的。

那我们可以确定， invoke_main 函数应该会有自己的栈帧， main 函数和 Add 函数也会维护自己的栈
帧，每个函数栈帧都有自己的 ebp 和 esp 来维护栈帧空间。

 

 2、准备环境和反汇编

首先为了方便观察反汇编代码，关闭以下选项，减少干扰。

在调用状态下，进入反汇编

 

 3、转到反汇编

首先鼠标右键关闭 显示符号名 这也是为了我们更好的观察代码

 （1）为main函数创建栈帧

而通过 push ebp 操作后 在原来的栈空间上压栈了一个ebp的地址内容

接下来通过mov操作，将esp赋值给ebp，esp和ebp都是原来esp的值。
（要知道在这之前保存了原来ebp指向的地址）
通过让esp和ebp指向同一位置（图中右边地址一样），为接下来的栈帧开辟做好了准备

接下来push三个寄存器的值，为了保留临时数据，同时也改变了esp的指向位置

而lea（load effective address）将ebp-24h位置的地址存到edi中。
将9存入ecx中，将0CCCCCCCCh存入eax中。
最后一句的意思是，将从edp-0x24h到ebp这一段的内存的每个字节都初始化为0CCCCCCCCh。

此时内存为这样

 （2）进入其他函数创建栈帧

call指令，访问002110B4地址，再会压栈一个call指令下一条指令的地址（也就是0021185D），记录返回后访问的地址。

 （3）销毁Add函数栈帧

call地址返回地址0021185D，以后esp+8，又销毁两个值。
再将eax储存的30，移到ebp-20位置。

到这里，我们来总结一下

4、总结几个问题

• 局部变量是如何创建的？

  通过ebp内存访问，储存在函数栈帧中。

• 为什么局部变量不初始化内容是随机的？

  因为在创建函数栈帧的时候，中间的地址的值都是不确定的，而如果访问一个为初始化的变量，指向这些不确定的值，就是随机值。
  而初始化为0CCCCCCCCh时，有时遇到烫，因为0xCCCC（两个连续排列的0xCC）的汉字编码就是“烫”，所以0xCCCC被当作文本就是“烫”。

• 函数调用时参数时如何传递的？传参的顺序是怎样的？
  从创建局部变量的函数（比如main函数）栈帧中通过内存访问，临时拷贝在eax和ecx中再放入栈中，先访问低地址的（20），再访问高地址的（10）。

• 函数的形参和实参分别是怎样实例化的？
  实参是在函数栈帧里通过ebp内存访问储存的值，形参是通过esp内存访问临时拷贝在eax和ecx中再入栈。

• 函数的返回值是如何带会的？
  如Add函数中通过将在寄存器（eax）中相加得到的30，在移入Add函数栈帧中c=0的地址位置，再将这个地址位置的值传给eax，在销毁Add函数栈帧后，将eax中的值传给main函数栈帧中创建的c=0地址位置。