转载:https://mp.weixin.qq.com/s/Od9X-qnQ3WWyZiLIS4uPFg

函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程:

  1. 对于程序运行机制中的数据结构和实现的了解,对自己开发程序有着启发作用

  2. 碰到一些疑难杂症的时候,比如函数栈溢出了或者函数栈破坏了,如何从蛛丝马迹中寻找问题的原因。

  3. 了解栈溢出可能带来的危害,黑客也许会利用栈溢出的漏洞进行攻击。

这篇博文我们一起来对函数调用的过程进行探究。

程序样例

下面是这篇博文要用到的一个样例程序:程序在main中调用了FunAdd函数。本篇就先来研究一下:

  1. 函数的参数存放在哪里?

  2. 函数调用是如何发生的?

  3. 函数的返回值是如何返回的?

  4. FuncAdd调用完成后,程序为什么知道继续顺序执行main中的代码的?

#include <stdio.h>#include <iostream>
int FunAdd(int iPara1, int iPara2){  int iAdd = 7;  int iResult = iPara1 + iPara2 + iAdd;  return iResult;}
int main(){  int iVal1 = 5;  int iVal2 = 6;  int iRes = FunAdd(iVal1, iVal2);  printf("iRes: %d\n", iRes);  return 0;}

图解函数调用栈

函数调用栈的基本知识:

  1. 每个线程都有一个自己的函数调用栈

  2. 栈也是程序申请的一段内存,随着栈的使用而增长。而一般编译的时候也可以指定编译选项设置栈最大值。如果递归调用层数太深,会导致栈溢出。

  3. 在系统中程序执行的时候栈都是从高地址往低地址增长的

  4. 函数参数压栈,一般从右向左压栈(比如__cdecl函数调用约定)

  5. EIP寄存器存储当前执行指令的内存位置

  6. EBP寄存器表明当前栈帧的栈底

  7. ESP寄存器表明当前栈帧的栈顶

后面将进入详细的函数调用过程讲解,这里会涉及到少量的Intel汇编。
第一步 这一行源码int iRes = FunAdd(iVal1, iVal2);,对应的汇编如下:

//iVal2存储在当前栈ebp-4的位置//iVal2的值读取到eax,并且压栈mov     eax,dword ptr [ebp-4]push    eax
//iVal1存储在当前栈ebp-8的位置//iVal1的值读取到eax,并且压栈mov     ecx,dword ptr [ebp-8]push    ecx
//调用call指令调用函数FunAddcall    StackResearch!FunAdd (000f1000)
//后面进行解释add     esp,8mov     dword ptr [ebp-0Ch],eax

根据上面的汇编解释,将iVal2和iVal1的值作为函数参数依次压栈(参数从右向左),而call指令除了调用FunAdd还有一个隐含的操作,就是将下一条指令的地址压栈(这条指令地址就是add esp,8的地址, 一般也称为Return Address), 这个用于FunAdd函数返回的时候知道接着应该执行哪条指令。
此时的栈帧应该如下图所示:

第二步 开始执行FunAdd,函数的汇编和解释如下:

push    ebpmov     ebp,espsub     esp,8mov     dword ptr [ebp-4],7mov     eax,dword ptr [ebp+8]add     eax,dword ptr [ebp+0Ch]add     eax,dword ptr [ebp-4]mov     dword ptr [ebp-8],eaxmov     eax,dword ptr [ebp-8]mov     esp,ebppop     ebpret

这里我们将汇编指令拆分进行讲解,便于理解。
步骤2.1 记录原先的栈底EBP (一般称作Child EBP), 即将main的EBP压栈。

push    ebp

步骤2.2 修改栈底,将当前ESP设置为EBP,切换到当前函数FunAdd的栈帧。

mov     ebp,esp

步骤2.3 将ESP减去8,即栈增长8个字节(记住栈是从高地址往低地址增长的)这个操作就等于在栈上申请了8个字节的空间,为什么是8个字节呢?这8个字节正是用于存储iAdd 和iResult(int默认四个字节)。

sub     esp,8

此时的栈帧如图:

步骤2.4 EBP-4地址则存放着iAdd,这个表明将iAdd初始化为7

mov     dword ptr [ebp-4],7

步骤2.5 EBP+8地址存储的值对应着iPara1EBP+0Ch地址存储的值对应着iPara2EBP-4地址则存放着iAdd,通过EAX寄存器,对三个值进行相加(iPara1 + iPara2 + iAdd)并且储存在EAX寄存器。

mov     eax,dword ptr [ebp+8]
add     eax,dword ptr [ebp+0Ch]
add     eax,dword ptr [ebp-4]

步骤2.6 EBP-8地址则存放着iResult,将步骤2.5中求和的结果从EAX中读取存放到iResult

mov     dword ptr [ebp-8],eax

步骤2.7 怎么和步骤2.6反过来了一次? 这是因为EAX寄存器用来存储返回值,即将iResult的值存入EAX寄存器。(本人为了将整个过程比较好的呈现,关闭了优化选项)

mov     eax,dword ptr [ebp-8]

步骤2.8 返回值准备好了,现在准备修改栈帧了。还记得在步骤2.1中将Child EBP的值(即main函数的EBP)保存在当前栈帧FunAdd的栈底不?此时将ESP指向栈底,然后执行pop ebp恢复原先的main函数栈帧。

mov     esp,ebp
pop     ebp

步骤2.9 此时的ESP指向的值正是在第一步中保存的Return Address,即FunAdd调用后的下一条指令。ret指令将ESP指向的值存储到EIP,并且暗含的将ESP+4,将栈顶缩小四个字节。
此时读者想一想,如果函数存在栈溢出的漏洞,黑客是否可以覆盖Return Address为恶意代码的执行地址呢?这样就会跳转到恶意代码的执行地址。

ret

此时FunAdd函数调用完毕,函数栈帧如下图所示:

但还有些事情没有完成:栈上还存在着调用FunAdd入栈的两个参数,返回值还没有获取。

第三步 还记得第一步中还有两个指令没有讲解吗?

add     esp,8
mov     dword ptr [ebp-0Ch],eax

首先调用add esp, 8即将栈顶去除八个字节,而这8个字节正是用来存储FunAdd入栈参数的。因为本人编译的时候函数约定默认采用的__cdecl, 所以由调用函数main来清理入栈的函数参数。
EBP-0Ch地址存储的是iRes,从第二步中可知,将返回结果存储在EAXmov dword ptr [ebp-0Ch],eax将返回结果存储到iRes中。

写到这里了,如果你还有不明白的,欢迎发信息和博主一起进行探讨哦。

对于ESP、EBP寄存器的理解相关推荐

  1. ebp 函数堆栈esp_对于ESP、EBP寄存器的理解

    esp是栈指针,是cpu机制决定的,push.pop指令会自动调整esp的值: ebp只是存取某时刻的esp,这个时刻就是进入一个函数内后,cpu会将esp的值赋给ebp,此时就可以通过ebp对栈进行 ...

  2. eax ...edi esp ebp寄存器简介(转)

    首先介绍我们会经常看到的一些寄存器: 4个数据寄存器(EAX.EBX.ECX和EDX) 2个变址和指针寄存器(ESI和EDI) 2个指针寄存器(ESP和EBP) 4个数据寄存器(EAX.EBX.ECX ...

  3. 【转】 关于寄存器ESP和EBP的一些理解

    [转] 关于寄存器ESP和EBP的一些理解 原文: http://blog.csdn.net/zsJum/article/details/6117043 一直对寄存器ESP和EBP的概念总是有些混淆, ...

  4. 汇编-栈帧-寄存器esp, ebp

    转载 原文地址 栈帧%ebp,%esp详解 分类专栏: 汇编 首先应该明白,栈是从高地址向低地址延伸的.每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息.寄存器ebp指向 ...

  5. esp寄存器与ebp寄存器介绍

    esp寄存器与ebp寄存器介绍 2013年09月21日 03:04:15 伤心小鸵鸟 阅读数:974 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/ ...

  6. 详细解析ESP寄存器与EBP寄存器

    详细解析ESP寄存器与EBP寄存器 最近在看汇编码,经常在程序的开头看到ESP和EBP寄存器的出现,由于本人基础知识的不牢靠,便上网查阅相关的资料,可惜网上的资料都不给力,都只是流于形式,没有好好的解 ...

  7. eax, ebx, ecx, edx, esi, edi, ebp, esp 各寄存器作用

    eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器.如果用C语言来解释,可以把这些寄存器当作变量看待. 比 ...

  8. EAX、ECX、EDX、EBX、ESI、EDI、ESP、EBP寄存器

    一般寄存器:AX.BX.CX.DX AX:累积暂存器,BX:基底暂存器,CX:计数暂存器,DX:资料暂存器 索引暂存器:SI.DI SI:来源索引暂存器,DI:目的索引暂存器 堆叠.基底暂存器:SP. ...

  9. EAX、EBX、ECX、EDX、ESI、EDI、ESP、EBP 寄存器详解

    (转自:https://www.cnblogs.com/qq78292959/archive/2012/07/20/2600865.html) 一般寄存器:AX.BX.CX.DX AX:累积暂存器,B ...

最新文章

  1. 重构手法(一)之重新组织函数
  2. Asp.Net页面传值的方法简单总结【原创】
  3. 蓝桥杯2016初赛-有奖猜谜-模拟
  4. LeetCode 29. 两数相除(位运算)
  5. spring+struts2+mybatis
  6. 用Aliyun E-MapReduce集群的sqoop工具和数据库同步数据如何配置网络
  7. WinCC7.3 Win764位系统安装教程
  8. sql server2000的1433端口不通怎么办
  9. exp在线计算机计算,Exp 数学表达式计算器算法分享
  10. C# 将word/ppt文档转换为Pdf的三种方法
  11. 本地连接服务器无响应怎么解决办法,本地连接的服务器未响应
  12. 制作网站及论坛的过程
  13. EXCEL POI单元格下拉的两种实现方式
  14. 项目经理在汇报中的三个重点
  15. php程序如何删除文件夹和文件
  16. 通用后台管理系统,管理后台框架模板演示地址
  17. CGAN原理及tensorflow代码
  18. 面试经验-简历如何写
  19. 嵌套循环中的break和continue使用规则
  20. 点击按钮返回数组 ages 中所有元素都大于输入框指定数值的元素和 $set()

热门文章

  1. 3808: Neerc2012 Labyrinth of the Minotaur
  2. Utopia unlimited: reassessing American literary utopias【翻译】
  3. APP打开提示 应用未安装
  4. grid布局浏览器兼容_grid布局适配IE
  5. 3GPP(学习) 38521-1 6.2C.1 Configured transmitted power for SUL
  6. Http--跨域请求
  7. Treble 架构下的 Android Camera 框架
  8. 不通过twitter API获取Twitter数据的方法
  9. 怎么制作搞笑的GIF
  10. 如何搭建一台深度学习的电脑工作站