详解函数的调用过程

       函数在运行期间创建的局部变量、函数参数、返回数据、返回地址都存放在栈区，而栈区又是程序地址空间的一块区域，所以先了解一下程序的地址空间!
      
       从下到上分别是程序代码区、文字常量区、全局区、堆区和栈区，堆区和栈区是相对而生，这里我们把栈区单独拿出来，用一个例子来说明函数的调用过程，下面是代码部分：

 #include
int Add(int x,int y)
{
    int z = 0;  
    z = x + y;
    return z;
}
int main()
{
    int a = 10;
    int b = 20;
    int c = Add(a,b);
    printf("you should run here!\n");
    printf("c=%d\n",c);
    return 0;
}

   首先了解以下三个重要的寄存器：
1.EIP -程序计数器/pc指针，存储的永远是当前cpu正在执行指令的下一条指令
2.EBP-基址寄存器，在函数的调用过程中存放了维护这个栈的栈底指针
3.ESP-栈顶寄存器，在函数的调用过程中存放了维护这个栈的栈顶指针

我用的是vc6.0编译环境，当程序调试时，main函数首先被mainCRTStarup函数调用，为main函数创建栈帧，汇编代码如下：

int main()
{
00401060   push        ebp
//将ebp压栈
00401061   mov         ebp,esp
//将esp赋给ebp，产生新的ebp
00401063   sub         esp,4Ch
00401066   push        ebx
00401067   push        esi
00401068   push        edi
00401069   lea         edi,[ebp-4Ch]
0040106C   mov         ecx,13h
00401071   mov         eax,0CCCCCCCCh
//把栈帧预开辟的全部空间全部空间初始化为0xcccccccc
00401076   rep stos    dword ptr [edi]
11:       int a = 10;
00401078   mov         dword ptr [ebp-4],0Ah
//创建a局部变量
12:       int b= 20;
0040107F   mov         dword ptr [ebp-8],14h
//创建b局部变量
13:       int c = Add(a,b);
00401086   mov         eax,dword ptr [ebp-8]
//把b赋给eax
00401089   push        eax
//b入栈
0040108A   mov         ecx,dword ptr [ebp-4]
//把a赋给ecx
0040108D   push        ecx
//a入栈
,此时esp指向存放a四字节空间的低地址处
0040108E   call        0040109(_Add) (00401005)
//call指令调用，先将call下一条指令地址压栈即04010963 入栈，然后跳转到Add函数的地方
00401093   add         esp,8
00401096   mov         dword ptr [ebp-0Ch],eax
14:       printf("you should run here!\n");
00401099   push        offset string "you should run here!\n" (00422024)

这里需要注意形参实例化的顺序是从右往左；
call的功能:1.将当前正在执行指令的下一条指令压入栈中
                 2.随即call跳转至指定函数

00401005   jmp         Add (00401020)

此时eip指向00401020，按F11

00401020   push        ebp
//ebp入栈，esp指向main:ebp
00401021   mov         ebp,esp
//将esp赋给ebp,ebp指向esp的位置，即main:ebp

框图如下：

00401023   sub         esp,44h
//Add函数栈帧形成，对应框图的1标号
4:        int z = 0;
00401038   mov         dword ptr [ebp-4],0
//形成z变量
5:        z = x + y;
0040103F   mov         eax,dword ptr [ebp+8]
//将a赋给eax
00401042   add         eax,dword ptr [ebp+0Ch]
//eax里面存放a+b的值
00401045   mov         dword ptr [ebp-4],eax
//将eax的值赋给z,即a+b的值赋给z
6:        return z;
00401048   mov       0040104E   mov         esp,ebp
//将ebp的值赋给esp,执行完后esp和ebp都指向main：ebp,Add栈帧销毁，对应框图的2标号
00401050   pop         ebp
//ebp出栈，对应框图的3标号
，esp上移，指向main:ret,ebp指向main函数栈底，恢复main函数的栈帧结构，
00401051   ret
//返回main函数里,弹出栈顶ret,对应框图的4标号
，esp上移，eip由00401020变成00401093
00401093   add         esp,8//对应框图的5标号
00401096   mov         dword ptr [ebp-0Ch],eax//将eax的值即z赋给C

     上面是调用Add函数的过程，我们可以进行扩展，调用完Add函数让他跳转到我们自己定义的bug函数里然后再返回到main函数里，方法：利用指针修改main函数返回值，将他改成bug，跳转至bug函数里，然后定义一个void * 的全局变量存放main函数的返回值，代码如下：

#include
#include
void *main_ret = NULL;
int bug()
{
    int first = 0;
    int *p = &first;
    p+=2;
    *p = main_ret;
    Sleep(1000);
    printf("haha,come here!I am a bug!\n");
    Sleep(3000);
}
int Add(int x,int y)
{
    int *p = &x;
    int z = 0;
    p--;
    printf("begin Add ...\n");
    main_ret = *p;
    *p = bug;
    z = x + y;
    printf("begin Add ...\n");
    return z;
}
int main()
{
    int a = 10;
    int b = 20;
    int c = 0;
    printf("begin main ...\n");
    c =  Add(a,b);
    printf("you should run here!\n");
    printf("c=%d\n",c);
    printf("end main...\n");
    system("pause");
    return 0;
}

执行代码，最后我们发现程序崩溃

    原因是调用Add函数时call一次，压栈,esp向下走；ret一次，出栈，esp向上走。调用bug函数时执行ret指令，出栈，esp向上走；但没有call，少了压栈的过程，所以esp比正常向上走了，为了平衡栈帧，增加汇编语句，将esp减4


_asm{ sub esp,4}
   
程序正常运行