函数栈帧(详细图解)
目录
一、栈
二、常用寄存器及简单汇编指令
三、理解栈帧
3.1 main函数栈帧创建
3.1.1 main函数栈帧创建动态演示
3.2 局部变量创建
3.2.1 局部变量创建动态演示
3.3 函数传参与调用
3.3.1 函数传参
3.3.2 函数传参动态演示
3.3.3 函数调用
3.3.4 函数返回
四、END
一、栈
简单来说栈的主要特点有:
- 一个限定表尾进行删除(出栈)和插入(入栈)操作的线性表,其过程类似与压子弹与退子弹(后进先出)。
- 一个由系统自动分配的内存空间,譬如调用函数、创建临时变量时内存空间的创建与销毁。
- 用于存储函数内部的局部变量、方法调用、函数传参数值等。
- 由高地址向低地址生长。
二、常用寄存器及简单汇编指令
| 寄存器 | 用途 |
|---|---|
| EAX | 累加寄存器:用于乘除法、函数返回值 |
| EBX | 用于存放内存数据指针 |
| ECX | 计数器 |
| EDX | 用于乘除法、IO指针 |
| ESI | 源索引寄存器,存放源字符串指针 |
| EDI | 目标索引寄存器,存放目标字符串指针 |
| ESP | 存放栈顶指针 |
| EBP | 存放栈底指针 |
| 汇编指令 | 用途 |
|---|---|
| mov | mov A,B 将数据B移动到A |
| push | 压栈 |
| pop | 出栈 |
| call | 函数调用 |
| add | 加法 |
| sub | 减法 |
| rep | 重复 |
| lea | 加载有效地址 |
三、理解栈帧
首先,什么是栈帧?引用百度百科:C语言中,每个栈帧对应着一个未运行完的函数。栈帧中保存了该函数的返回地址和局部变量。从这句话中,可以提炼以下几点信息:
- 栈帧是一块因函数运行而临时开辟的空间。
- 每调用一次函数便会创建一个独立栈帧。
- 栈帧中存放的是函数中的必要信息,如局部变量、函数传参、返回值等。
- 当函数运行完毕栈帧将会销毁。
下面进入主题,图解函数栈帧的创建与销毁过程。
3.1 main函数栈帧创建
根据VS2013编译器调试,调用堆栈,不难发现main函数的调用链条如下:
很显然main函数在被调用时,创建了栈帧。在调试过程中将转到反汇编,便能直观的看到main函数栈帧创建的过程。首先需明确的是,函数栈帧由寄存器esp,ebp维护。
008B1410 push ebp
008B1411 mov ebp,esp
008B1413 sub esp,0E4h
008B1419 push ebx
008B141A push esi
008B141B push edi
008B141C lea edi,[ebp-0E4h]
008B1422 mov ecx,39h
008B1427 mov eax,0CCCCCCCCh
008B142C rep stos dword ptr es:[edi] //dword 为 4个字节- 在__tmainCRTStartup()函数顶部压入ebp,如图所示esp指向ebp,ebp成功压入栈中。
2.esp值传递给ebp。
3.esp减去0E4h:由于栈先使用高地址后使用低地址,减去一个值意味着esp指针向低地址移动了0E4h个地址,此处便开辟了main函数的栈帧。
4.压入ebx,esp指向ebx顶部。
5.压入esi,esp指向esi顶部。
6.压入edi,esp指向edi顶部。
7.将edi向下39h个空间全部改为0xCCCCCCCC。
3.1.1 main函数栈帧创建动态演示
3.2 局部变量创建
int a = 10;
00AA142E mov dword ptr [ebp-8],0Ah
int b = 20;
00AA1435 mov dword ptr [ebp-14h],14h
int ret = 0;
00AA143C mov dword ptr [ebp-20h],0 - 将十六进制整数:0Ah(DEC 10)放入ebp 向低地址移动8个字节。
- 将十六进制整数:14h(DEC 20)放入ebp 向低地址移动20个字节。
- 将十六进制整数:0(DEC 0)放入ebp 向低地址移动32个字节。
3.2.1 局部变量创建动态演示
3.3 函数传参与调用
ret = Add(a, b);
00AA1443 mov eax,dword ptr [ebp-14h]
00AA1446 push eax
00AA1447 mov ecx,dword ptr [ebp-8]
00AA144A push ecx
00AA144B call 00AA10E1
00AA1450 add esp,8
00AA1453 mov dword ptr [ebp-20h],eax 从以上汇编代码可知函数是先传参后调用,函数传参顺序是从右往左。
3.3.1 函数传参
- ebp - 14h 的地址传给eax,即eax中实际存放了20。
- eax 压栈。
- ebp - 8 的地址传给ecx,即ecx中实际存放了10。
- ecx 压栈。
3.3.3 函数调用
可以发现,在执行call指令后,栈中压入call指令的下一条地址。
进入Add()函数,可以看出这与此前main函数开辟栈帧的过程类似,说明Add()函数调用又开辟了一块独立的栈帧。
在函数栈帧、局部变量创建完毕后,进行Add()函数运算过程:
c = a + b;
00AA13E5 mov eax,dword ptr [ebp+8]
00AA13E8 add eax,dword ptr [ebp+0Ch]
00AA13EB mov dword ptr [ebp-8],eax - 将(ebp + 8)的值传递给eax,此时的ebp存放Add函数的栈底指针,(ebp + 8) 的位置即函数传参时创建的ecx的地址,其内部存放的正是10。
- eax寄存器中执行求和指令,加上(ebp + 0ch) 中的值,同理可以得知(ebp + 0ch)中的值是20。
- 将eax的经过求和的结果,传递到(ebp - 8)的位置 。
通过上述过程可以得知函数内部并未给形参开辟空间,而是直接查找了实参传递时的地址,由此解释了形参其实是实参的一份临时拷贝。
3.3.4 函数返回
return c;
00AA13EE mov eax,dword ptr [ebp-8] 将返回值传递至寄存器eax中,因此在函数调用结束函数栈帧被销毁时,返回值并不会销毁。在函数拿到返回值后,开始出栈:
00AA13F1 pop edi
00AA13F2 pop esi
00AA13F3 pop ebx
00AA13F4 mov esp,ebp
00AA13F6 pop ebp
00AA13F7 ret 从低位置到高位置依次弹出edi,esi,ebx,随后将ebp赋给esp并弹出ebp,最后执行ret指令返回到调用Add函数的call指令的下一地址,在执行ret指令时实际已弹出After call,以执行指令 add esp,8,此时esp向高地址移动8字节,esp,ebp重新维护main函数,eax中存放的返回值将被传递给地址(ebp - 20h)即ret的地址。至此,Add函数返回完毕。main函数栈帧销毁过程与前述过程类似。
四、END
通过对函数栈帧创建、销毁过程的剖析使我们不仅了解计算机做了什么,还了解了它是如何做的。通过函数栈帧尝试解析递归等问题相信也会更加直观。笔者水平有限,不足之处还请各位大佬多指教。