CALL框架
` EBP寄存器 栈底指针
ESP寄存器 栈顶指针
一、EBP栈底指针
EBP是一个特殊的寄存器，通过EBP+偏移量 可以访问CALL里边的局部变量。它的低16位叫BP。//EAX和AX的关系
二、ESP栈顶指针
ESP栈顶指针与EBP构成的一段空间大小，一般就是本CALL局部变量的空间大小总和。ESP指针配合EBP使用。//SP
三、代码分析

void fun1(void)
{   //0401000  /$  55            PUSH EBP //保存栈环境或者叫保存EBP指针
    //0401001  |.  8BEC          MOV EBP,ESP
    //0401003  |.  5D            POP EBP //恢复EBP指针
    //0401004  \.  C3            RETN
}
void fun2(void)
{
    int a;
    int b=5;
}
void fun3(void)
{
    fun2();
}

总结：
1、每个CALL会分配一个独立的栈段空间，供局部变量使用.
栈段空间大小一般要大于局部变量所需空间大小之和 ebp-esp=栈段空间大小。
2、CALL栈平衡。进CALL前与出CALL后 EBP和ESP的值不变。

以下为od调试过程

// EBP_ESP_CALL.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

void fun1(void)
{
    //0401000  /$  55            PUSH EBP //保存栈环境 或者叫保存EBP指针
    //0401001  |.  8BEC          MOV EBP,ESP
    //0401003  |.  5D            POP EBP //恢复EBP指针 
    //0401004  \.  C3            RETN

}
void fun2(void)
{
    int a=3; //4
    int b=5; //4 
    char c=1;//分配4字节
    char s[17];  //12+17 36-29
    /*00401013  |.  83EC 08       SUB ESP,8
    00401016  |.  C745 FC 03000>MOV DWORD PTR SS:[EBP-4],3
    0040101D  |.  C745 F8 05000>MOV DWORD PTR SS:[EBP-8],5*/


}
 void fun3(void)
 {
     fun2();
 }
int _tmain(int argc, _TCHAR* argv[])
{
    printf("begin\n");
    fun1();
    fun3();
    printf("end\n");
    return 0;
}

第一步打断点

image.png
2.按f9运行 ，到printf断点 image.png
3.选中上方的printf断点enter键进入
4.下方的注释是个人打的
f1 .f3为函数 image.png
5.总体分析：首先按f8(f8意思是不进入call),然后观察esp ebp的变化
image.png 然后没有变化，这说明不了esp,ebp是不变的，只能说明在函数开始或者结束后还原了，接下来我们来验证这一点
6.局部分析
1.f1分析 首先重新进行调试 按f2在call f1函数那打上断点然后进入 如下图所示
image.png 可以看到如下的汇编代码，在逐行调试过程中 push会 让bsp（栈顶指针-4）（因为在计算机中栈的结构从上到下进行的）

00361000 >/$  55            push ebp                                 ;  ebp压栈
00361001  |.  8BEC          mov ebp,esp                              ;  ebp = esp
00361003  |.  5D            pop ebp                                  ;  0018FCAC
00361004  \.  C3            retn                                     ;  ret返回到

运行完上方的代码之后会回复为起初的ebp，esp相当于 call玩之后没有啥子变化
然后调试第三个函数，因为第三个函数的函数体里面之后只二个函数 所以

00361030 >/$  55            push ebp
00361031  |.  8BEC          mov ebp,esp
00361033  |.  E8 D8FFFFFF   call EBP_ESP_.fun2xUnhandledExceptionFil>
00361038  |.  5D            pop ebp                                  ;  0018FC68
00361039  \.  C3            retn

第三个函数的汇编代码如下图所示，仅通过第二个与第三个函数的运行结果来看可以得出结论，ebp，esp，会在函数运行完之后恢复到从前的值

然后继续调整第三个

image.png
从第三个函数体进入第二个函数 image.png
都可以看到 第一开始都把ebp栈底指针压入堆栈(pushebp)，然后将栈顶指针赋值为栈底指针（mov evp,esp）,最后 mov esp,ebp,pop ebp再把esp，ebp还原为起初的样子，看第二个函数的运行过程
00361013 |. 83EC 24 sub esp,0x24这句话给栈赋值了0x24个字节长度的空间，
00361016 |. C745 FC 03000>mov dword ptr ss:[ebp-0x4],0x3
0036101D |. C745 E0 05000>mov dword ptr ss:[ebp-0x20],0x5
00361024 |. C645 DF 01 mov byte ptr ss:[ebp-0x21],0x1
上述的三个堆栈分别给堆栈中的空间进行赋值！
复制完就结束了 返回到在第三个函数执行没完，第二个函数执行完的那个时候。

一.概念分析

经常看到下面这两句：

pushl %ebp

movl %esp,%ebp

esp是堆栈指针　
ebp是基址指针

那两条指令的意思是　将栈顶指向　ebp　的地址　
—————————————————————

以下摘自网上一篇文章：

push　　　　ebp　　　　　　　　　　　　　;ebp入栈　
mov　　　　　ebp,　esp　　　　　　　　;因为esp是堆栈指针，无法暂借使用，所以得用ebp来存取堆栈　
sub　　　　　esp,　45　　　　　　　　;下面的wsprintf一共使用了5个参数，每个参数占用4个字节，所以要入栈45个字节　
push　　　　1111　
push　　　　2222　
push　　　　3333　
push　　　　offset　szFormat　
push　　　　offset　szOut　
call　　　　wsprintf　　　　　　　　;调用wsprintf　
add　　　　　esp,　45　　　　　　　　;堆栈使用完毕，“还”回45个字节给系统　
…　
mov　　　　　esp,　ebp　　　　　　　　;恢复esp的值　
pop　　　　　ebp　　　　　　　　　　　　　;ebp出栈　
ret

明白了吗？主要是用来保存/恢复堆栈，以便传递参数给函数。　
在MASM里面，有一条更方便的语句，就是invoke　
使用它后，你就不用自己做这些事情了。

—————————————————————

esp始终指向栈顶，ebp是在堆栈中寻址用的

---

我的理解：

调用一个函数时，先将堆栈原先的基址（EBP）入栈，以保存之前任务的信息。然后将栈顶指针的值赋给EBP，将之前的栈顶作为新的基址（栈底），然后再这个基址上开辟相应的空间用作被调用函数的堆栈。函数返回后，从EBP中可取出之前的ESP值，使栈顶恢复函数调用前的位置；再从恢复后的栈顶可弹出之前的EBP值，因为这个值在函数调用前一步被压入堆栈。这样，EBP和ESP就都恢复了调用前的位置，堆栈恢复函数调用前的状态。

二.通过ollydbg跟踪esp和ebp

       发现文字描述还是太没有快感。上几幅图，来说明这个调试过程更好。此文对于深刻理解ebp，esp是具有长远意义的

这里写图片描述

可以看到，初始情况下，ebp此时值为0012FEDC，也就是栈帧的地址，而栈顶地址esp值为0012FDFC。可以看到两个值有一定的关系。而帧指针的地址较高。
然后我们让它执行前两句，push ebp,mov ebp,esp

这里写图片描述

可以看到前两句已经执行了，那么ebp跟esp的值也发生了变化。esp=0012FDF8，ebp=0012FDF8。为神马？一句句解读，push ebp，向栈里面压入了一个东西，那么栈顶此时应该发生变化了，也就是地址-4字节。为什吗是减法呢？因为是向低地址增长的，这点一定得注意。所以此时esp变化成了0012FDFC-4=OO12FDF8.至于ebp也等于0012FDF8就不解释了。
接着上图不解释：

这里写图片描述

此时呢，观察现在的值。栈顶esp=0012FDF4,而ebp=0012FDF8;没啥好说的，此时的栈顶已经又跑上去了，说明又有元素压栈了。那么执行这句mov esp,ebp之后，不用说，esp跟ebp都会变成0012FDF8.我们重点看下一幅，执行完pop，让ebp出栈，后会发生神马。

这里写图片描述

此时ebp已经出栈了，来看看那他们的值，esp=0012FDFC,ebp=0012FEDC.首先，ebp出栈了，这个时候栈空了，所以栈顶会变成初始时的值001212FDFC。相当于上图中的esp=0012FDF8+4=0012FDFC.注意出栈，则栈顶+4，然后呢。ebp为啥变成了0012FEDC初始的值？ebp不是一直保存着esp的初始地址么？
所以重点就在pop这个语句了。pop ebp究竟表达神马意思？ebp的值起初存在了栈中，出栈以后，它的值就恢复了原样。所一句灰常重要啊。pop的意思也许就是把弹出的值赋给我们的变量，pop ebp，也就是把存在栈中的值弹出来赋给ebp。
所以我在这里总结几句：
1、两句的mov ebp,esp实际上是把ebp进栈后的栈顶地址给了ebp。
2、在ebp没有出栈钱，它会一直保存ebp进栈以后的栈顶值，也就是1的值。
3、在ebp出栈前，需要把esp恢复到只有ebp在栈中时的值。
4、出栈后，esp自然恢复到ebp进栈以前的初始值，而pop ebp则恢复了ebp的初始值。
5、pop的语义很重要,pop ebp的意思是把当前栈顶的元素出栈，送入ebp中，而不是让ebp出栈，这点必须明确！

这下应该明白了吧~~~~