本篇文章,博主所使用的环境是VS2013,建议在学习函数栈帧的创建与销毁不要使用太高级的编译器,越高级的编译器,越不容易观察函数栈帧创建与销毁的过程。同时函数栈帧的创建和销毁的过程在不同的编译器下,它的创建和销毁是略有差异的,大体逻辑是一致的,具体细节取决于编译器的实现。
在了解函数栈帧的创建与销毁之前我们先了解一下什么是函数栈帧。
每一个函数调用,都要在栈区上创建一个空间,而在栈区上为函数创建的空间就叫做函数栈帧
接下来我们就开始学习函数栈帧的创建和销毁吧。
铺垫:
1.寄存器:
eax
ebx
ecx
edx
ebp
esp
重点是esp和ebp这两个寄存器,这两个寄存器中存放的是地址,是用来维护函数栈帧的。
栈帧的维护如下:
下面会进行详细讲解:
接下来我们用一个简单的代码来进行讲解:
int Add(int x,int y)
{
int z = 0;
z = x + y;
return z;
}
int main()
{
int a = 10;
int b = 20;
int c = 0;
c = Add(a,b);
printf("%d\n",c);
return 0;
}
调试程序查看堆栈:
从上图可以看出,在vs2013中,main函数是被__tmainCRTStartup函数调用的,而__tmainCRTStartup函数是被mainCRTStartup函数调用的,所以两者也都要在栈区开辟空间
接着转到反汇编:
接下来我们对函数栈帧的创建和销毁一步一步进行说明:
1、调用main()函数之前:
我们上方说到main函数是被__tmainCRTStartup函数调用的,所以首先为__tmainCRTStartup函数开辟空间并且进行维护,如图:
2.main函数栈帧的创建:
main函数栈帧的创建过程:
第一步:
调用反汇编的第一条指令:
009214F0 push ebp
push是压栈的意思:将ebp进行压栈处理(把ebp放入栈顶),压栈后,esp自动指向栈顶:
第二步
调用第二条指令:
009214F1 mov ebp,esp
mov是赋值的意思:将esp的值给ebp,此时产生新的ebp,即ebp指向esp指向的位置:
第三步:
第三条指令:
009214F3 sub esp,0E4h
sub为减的意思,将esp-0E4h的值赋给esp,且函数调用分配由高地址向低地址增长,因此esp向上移动,即开辟了新空间:
第四步
009214F9 push ebx
009214FA push esi
009214FB push edi
三个push压栈,分别将ebx,esi,edi按顺序压入栈顶,而esp也会自动指向栈顶:
第五步:
009214FC lea edi,[ebp+FFFFFF1Ch] //[ebp+FFFFFF1Ch]==[ebp-0E4h]
00921502 mov ecx,39h
00921507 mov eax,0CCCCCCCCh
0092150C rep stos dword ptr es:[edi]
lea的意思是加载有效地址:将ebp-0E4h的有效地址加载到edi中;
第二句的意思是:把39h放到ecx中去;
第三句的意思是:把0CCCCCCCCh 的值放到ecx中去
最后一句的意思是:从edi的位置开始,把eax里的内容按4个字节拷贝ecx次,放到edi向下的位置(即把main函数栈帧里的内容全部初始化为0CCCCCCCCh ):
第六步:
接下来看下面三句指令:
把10放到epb-8的位置(图中的0Ah就是十六进制的10);
把20放到epb-14h的位置(14h是十六进制的20);
把0放到epb-20h的位置。
我们来看看它们在内存中是如何存储的:
所以它们在栈区上存储的位置如图:
第七步:
我们对abc三个变量初始化完成之后,接下来走到Add函数,调用Add函数又要为其开辟栈帧,还有进行传参操作,接下来我们来看看它们在内存中究竟是如何进行操作的吧!
00EF1523 mov eax,dword ptr [ebp-14h]
00EF1526 push eax
00EF1527 mov ecx,dword ptr [ebp-8]
00EF152A push ecx
00EF152B call 00EF1226
00EF1530 add esp,8
00EF1533 mov dword ptr [ebp-20h],eax
1.把ebp-14h所在地址的值,也就是b的值,放入eax这个寄存器中,然后对eax进行压栈;
2、然后把ebp-8所在地址的值,也就是a的值,放入ecx这个寄存器中,然后接着对ecx进行压栈;
其实这两步在进行传参操作
3.call的作用是调用函数区:将下一条指令的地址压栈,然后进入add函数里面。
这里为什么要将call指令的下一条指令的地址进行压栈呢?
因为当Add函数调用完之后,需要返回来,而返回来之后需要继续执行call指令的下一条指令,所以需将call指令的下一条指令的地址进行压栈。
此时main函数的栈帧就会变得如图所示,esp也自动指向栈顶
接着按F11进入Add函数中:
看Add函数的汇编代码:
我们可以看出,Add函数的汇编代码上半部分,和main函数中的前半部分极为相似,其实这与main函数一样,为Add函数开辟函数栈帧
如图:
然后接着往下走:
把ebp-8所指向的空间初始化为0,即创建变量z
然后ebp+8所指向的空间里的内容(a的值)赋给eax
接着把ebp+och所指向的空间里的内容(b的值)加到eax中去
然后再把eax里的值给ebp-8里去,即赋给z
如图:
其实在这里x就是ecx里的10,y就是eax里的20。
这也说明了,形参是实参的一份临时拷贝,而且传参的时候,先传b,再传a。
这样就完成了相加的过程。
接下来就是要将相加的值返回去,也就是返回z的值。
我们来看看是如何返回的:
首先把ebp-8里的值(z的值)放到eax寄存器里面去。因为函数调用完后,而为函数所开辟的函数栈帧会被销毁,但寄存器不会随着程序的退出而销毁,所以这样就可以将值返回去。
然后接着看下面的指令:
三个pop: pop是出栈操作,将edi esi ebx依次从上向下出栈,esp自动下移动。
然后将ebp值赋给esp,也就是esp向下移动到指向main函数的ebp的位置,此时add开辟的栈空间已经销毁
如图:
然后接着pop ebp:弹出ebp,也就是说此时的ebp返回到main函数的栈底,此时我们就返回到main函数的栈帧
当执行ret后,程序就会返回到我们上文所说的call指令的下一条指令,这也就是为什么上文会将call指令的下一条指令的地址进行压栈。执行完之后,这个地址也将会出栈:
返回到main函数之后,继续执行call指令的下一条指令:
把esp+8,即esp向下移,把形参销毁
然后把eax里的值(30)放到ebp-20h?中
最后就是打印C的值,然后main结束之后销毁main函数的栈帧:
总结:
学习完函数栈帧的创建与销毁后,我们就可以清楚的知道,局部变量是如何创建的,为什么局部变量的值是随机的,以及函数是如何传参的,传参顺序如何,还有函数调用后是如何返回的。这些问题都迎刃而解了。