簡單的函數調用,通過簡單的函數調用反彙編可以清楚瞭解如下
1.棧到底是什麼,如何操縱棧的?
2.參數和臨時變量是以什麼形式在哪存放?
3.如何傳遞返回值?
舉例:
#include <stdio.h>
int add(int a,int b)
{
int c=0;
c=a+b;
return c;
}
int main(void)
{
int x=0;
int y=3;
int z=4;
x=add(y,z);
return 0;
}
這是一個簡單的通過調用函數計算兩數之和的程序
VC6.0生成的彙編代碼如下:
add函數
{
0040D750 push ebp
//把main函數的ebp壓棧,ebp=1000,esp=896
0040D751 mov ebp,esp
//得到“新”棧基址,這裏的新的意思是每個函數訪問屬於自己的一塊棧區域,其實是相鄰的內存區域,或者說棧只有一個。ebp=896,esp=896
0040D753 sub esp,44h
//ebp=896,esp=828
0040D756 push ebx
0040D757 push esi
0040D758 push edi
//ebp=896,esp=816
0040D759 lea edi,[ebp-44h]
0040D75C mov ecx,11h
0040D761 mov eax,0CCCCCCCCh
0040D766 rep stos dword ptr [edi]
//初始化內部變量區
5: int c=0;
0040D768 mov dword ptr [ebp-4],0
//c放入“新”棧基址
6: c=a+b;
0040D76F mov eax,dword ptr [ebp+8]
0040D772 add eax,dword ptr [ebp+0Ch]
//因爲“新”棧基地址就是“舊”棧頂地址,所以通過ebp訪問傳過來的參數,ebp+8到ebp+c是因爲ebp上方的8字節用於存儲調用函數的調用地址和“舊”堆棧基地址了。
0040D775 mov dword ptr [ebp-4],eax
//運算結果放入c中
7: return c;
0040D778 mov eax,dword ptr [ebp-4]
//用寄存器eax返回結果
8: }
0040D77B pop edi
0040D77C pop esi
0040D77D pop ebx
//恢復寄存器的值,ebp=896,esp=828
0040D77E mov esp,ebp
//恢復“舊”棧頂地址,ebp=896,esp=896,此函數堆棧被釋放!
0040D780 pop ebp
//恢復“舊”棧基地址,ebp=1000,esp=900,此時恢復到調用前的棧基地址和頂地址
0040D781 ret
//返回調用點,ebp=1000,esp=904,調用點地址被彈出,返回到調用點
main函數
{
0040D790 push ebp
0040D791 mov ebp,esp
//用棧頂地址作爲棧基地址,目的是不和調用前棧空間衝突,爲了敘述方便假設此時的棧基址ebp=1000,esp=1000。
0040D793 sub esp,4Ch
//esp下移,開闢出0x4C字節的空間,這個空間是留給內部參數用的,這個空間的大小隨內部變量多少由編譯器決定。ebp=1000,esp=1000-0x4C=924
0040D796 push ebx
0040D797 push esi
0040D798 push edi
//保護 ebx,esi,edi的值,ebp=1000,esp=924-12=912
0040D799 lea edi,[ebp-4Ch]
0040D79C mov ecx,13h
0040D7A1 mov eax,0CCCCCCCCh
0040D7A6 rep stos dword ptr [edi]
//把內部參數佔用的空間每個字節都初始化爲0xCC,這個是爲了在DUBUG程序的方便,編譯器加入的,如果不在DEBUG狀態下,這個區域是沒有被初始化的,也就是說是隨機值。
12: int x=0;
0040D7A8 mov dword ptr [ebp-4],0
13: int y=3;
0040D7AF mov dword ptr [ebp-8],3
14: int z=4;
0040D7B6 mov dword ptr [ebp-0Ch],4
//內部變量放入剛纔被初始化爲0xCC的內部變量區,x佔用四字節在地址9996-9999,y,z一次類推
15: x=add(y,z);
0040D7BD mov eax,dword ptr [ebp-0Ch]
0040D7C0 push eax
0040D7C1 mov ecx,dword ptr [ebp-8]
0040D7C4 push ecx
//把參數按照stdcall方式從右到左壓棧,ebp=1000,esp=912-8=904,z首先入棧在908-911,y在904-907
0040D7C5 call @ILT+15(_add) (00401014)
//把返回下一行代碼即 add esp,8 的地址壓棧,轉向add函數,ebp=1000,esp=900,看add函數
0040D7CA add esp,8
//ebp=1000,esp=912,恢復到壓入參數前棧基地址和頂地址,這個步驟叫做堆棧修正
0040D7CD mov dword ptr [ebp-4],eax
//返回的變量放到x中
16: return 0;
17: }
現在來總結開始提出的三個問題
1.棧到底是什麼,如何操縱棧的?
棧是操作系統分配給程序運行的一塊內存區域,有以下特點
1.1、改變堆棧用push, pop,用的esp棧頂指針,而讀指針則用ebp棧基指針靈活訪問
1.2、每當一個函數跳轉到另一個函數時,會在上一個函數用到的棧空間下方開闢空間
2.參數和臨時變量是以什麼形式在哪存放?
2.1、參數放在舊棧的返回地址和舊棧基地址的上方,而臨時變量則在新棧的最上方處,變量名會被編譯器連接一個地址,程序在被編譯成彙編以後,變量名就是虛無了。
3.如何傳遞返回值?
3.1、傳遞一個值的情況下,通過eax傳遞
可以看出,棧溢出是由於編譯器沒有檢查棧是否還有空間。