函数栈帧的创建和销毁
这个笔记的环境是vs2013,越高级的编译器,栈帧的创建越难以观察。
函数的创建和销毁在不同的编译器上略有差异,大体逻辑相同。具体细节取决于编译器。
铺垫:寄存器有:eax,ebx,ecx,edx
还有:
ebp
esp,等等
ebp,esp,这两个寄存器中存放的是地址。是用来维护函数栈帧的。
每一个函数调用都要在栈区上创建一个空间。
栈空间的使用是从高地址到低地址。
main函数的函数栈帧就是在栈区的高地址处的一块空间,这块空间就是函数栈帧
这块空间有两个寄存器维护(相当于确定合法性),即ebp和esp。
ebp,esp中储存的是两个地址,ebp的地址高,esp的地址低。但ebp是栈底指针,esp是栈顶指针。放入数据从esp处开始放。
?
esp和ebp维护的是正在调用函数的空间。
ebp是基址指针寄存器,总是指向栈底,esp是栈指针寄存器,总是指向栈顶
在vs2013中,main函数也是被其他函数(__tmainCRTStartup)调用的,__tmainCRTStartup则是被mainCRTStartup调用,main函数return 0;返回给mainCRTStartup
在调用main函数前__tmainCRTStartup的函数栈帧已经创建好了,此时esp和ebp指向__tmainCRTStartup函数空间的顶部和底部
在main函数下一行转到反汇编,然后取消符号名(要看具体的地址来分析系统的布局),符号名取消后,符号名位置变成符号名的地址,如图1所示
?
?图1
其中push的意思是压栈操作
?
?图2
在进行压栈时,esp和ebp还指向__tmainCRTStartup(如图3所示),压栈后的空间表示为:
?
?图3
压栈的ebp储存的是此时ebp的值(即__tmainCRTStartup的栈底指针)
压栈后esp指向新的地址,如图4所示(可以通过监视观测esp的地址值,通过内存可以看到esp的值为ebp的地址值)
?
图4
下一句是move,把esp给ebp
下一步sub(subtract减),esp减0E4h,实际减的值为228(0E4h是八进制,相当于228,原因不明),h暂时不予考虑
?
此时空间如图5所示
?
?图5
此时main函数预开辟的空间已经完成
之后进行三次push的压栈push ebx,esi,edi(ebx,esi,edi三个是有值的,大小为4字节,即esp进行一次压栈操作跳4字节)
?
当完成push ebx的操作时,此时内存空间如图6所示
?
?图6
每进行一次压栈操作,esp的所指向的位置都会改变,压栈三次后,内存空间如图7所示
?
?图7
下一步lea(load?effective?address加载有效地址),
相当于在edi中放入地址:ebp-0E4h(此时显示符号名,原来的为ebp+FFFFFF1Ch)
ebp保存的都是当前函数的栈帧
为什么ebp-0E4h后,向下39h后就又回到ebp的位置了,0E4h和39h是一样的吗?
0E4h和39h的单位不一样,39h的单位是double?word。
之后mov,将39h放到ecx中,将0CCCCCCCCh放入eax中
下一步rep?stos的意思是:从edi位置开始,向下的39h这么多的dword(double?word,一个word两个字节,double?word指4个字节)全部改成0CCCCCCCCh
即图8操作后内存空间如图9所示
?
?图8
?
?图9
相当于把main函数的栈帧空间全初始化成c。
至此完成准备,下面开始执行语句。
首先mov,把0Ah放到ebp-8这个地址中
?
此时内存空间如图10所示
?
?图10
如果没有初始化,打印a的值会出现烫烫烫烫,就是因为此时内存中的值都是cccccccc
然后mov,将14h放到ebp-14h的位置处(14是十六进制,转换为十进制是20,其地址与a的空间相隔8字节)
再mov,将0放到ebp-20h处(20是十六进制,转换为十进制是32,其地址与b的空间相隔8字节)(不同编译器会相隔不同字节)
?
此时内存空间如图11所示
?
?图11
图11仅为示范,不是指abc创建完够main的栈帧就用光了,也不是指函数栈帧的创建是需要多少就创建刚好够用的大小
下面的执行情况如图12所示
?
?图12
首先将ebp-14h中的值放到eax中去,然后push? eax
内存空间如图13所示(esp应该指向eax所在空间了,图示有误)
?
图13
将ebp-8中的值放到ecx中去,然后push? ecx,情况如图14
?
?图14
在函数栈帧中,变量之间隔8字节空间,在压栈操作下,空间是连着的
从中可以看出,在调用函数时,先调用b,再调用a(函数add(a,b))
下一步call指令,意为调用,此时若要进入下一条,按f11,按两次,将会进入add函数(之前按f10)
?
call指令会让call指令下一条指令的地址进行压栈,为了保证call指令跳转的程序结束后,可以通过该地址返回,如图15所示
注意:main函数的栈帧是会变化的,其栈帧为从ebp到esp所维护的空间,也就是说,00C21450空间也是main函数的栈帧
?
?图15
进入后的反汇编如图16所示:
?
?图16
框起来的部分为函数的准备部分,同main函数大体相同
准备部分完成后,内存空间如图17所示
?
?图17
z的初始化同main函数,在ebp-8所指向的空间中放入0(mov)
随后进行z=x+y语句
mov,将ebp+8所在空间的值赋给eax
下一个指令,add,将ebp+0Ch所在空间的值加到eax中
下一个指令,mov,将eax的值赋给ebp-8所在空间(即z的空间)
?
此时内存空间如图18所示
?
?图18
在调用参数时,并没有在add栈帧中创建,而是找回压栈的x和y。
所以说形参是实参的一份临时拷贝,改变形参不会对实参有影响。
为什么z销毁后,还可以把结果带回去?
原因如下:mov指令,将ebp-8空间存放的值放入寄存器eax中
?
return语句执行完毕后内存空间如图19所示
?
?图19
之后执行pop指令(弹出),将栈顶的元素弹出放到edi寄存器中,然后esp++,esi,ebx同理
?
esp只要往高地址方向走,esp低地址方向的空间就释放了
pop是唯一出栈操作,push是唯一压栈操作
在数据类型只有int的情况下,pop?和?push一次只移动4字节
弹出指令结束后,内存空间如图20所示
?图20?
之后mov指令,将ebp赋给esp(此时esp指向的是ebp所指向的空间,esp++后才到ebp——main的?的下一个空间),然后pop指令将esp所指向空间的值弹出到ebp中,esp此时所指向的值为main函数的栈底,之后esp++。(因为main函数的栈顶容易找到,栈底则不知道,所以在这个空间记录栈底的地址,弹出时赋给ebp,重新指向main函数的栈底)
内存空间如图21所示
?图21
之后执行ret指令,就相当于从栈顶弹出call指令下一条指令的地址(esp++),然后跳出去,跳到call指令的下一条指令
?
之后执行add指令,esp+8
内存空间如图22所示
?
?图22
然后mov指令,将eax的值给地址ebp-20h(十六进制相当于ebp-32)所指向的空间,完成c的赋值