一、基本知识
1.1 堆栈的用途:
堆栈是C语言程序运行时必须的一个记录调用路径和参数
的空间,堆栈的用处:
- 函数调用框架
- 传递参数(X86-64改为使用寄存器传递参数)
- 保存返回地址
- 提供局部变量空间
- 等等
1.2 堆栈寄存器和堆栈操作:
堆栈相关的寄存器:
- esp,堆栈指针( stack pointer)
- ebp,基址指针( base pointer)
- cs:eip:总是指向下一条的指令地址
◆顺序执行:总是指向地址连续的下一条指令
◆跳转/分支:执行这样的指令的时候,cs:eip的值会根据
程序需要被修改
◆cal:将当前cs:eijp的值压入栈顶,cs:eip指向被调用函
数的入口地址
◆ret:从栈顶弹出原来保存在这里的cs:eip的值,放入cs
◆发生中断时?
堆栈相关的操作:
- push
栈顶地址减少4个字节(32位) - pop
栈顶地址增加4个字节
push和pop详解(32位):
- push example:
pushl %eax
上面的push操作就是把EAX寄存器的值压到堆栈栈顶。它实际上做了这样两个动作:
subl $4, %esp
movl %eax, (%esp)
其中第一个动作就是把堆栈的栈顶ESP寄存器的值减4。因为堆栈是向下增长的,所以用减指令subl,也就是在栈顶预留出一个存储单元;第二个动作把ESP寄存器加一个小括号(间接寻址),就是把EAX寄存器的值放到ESP寄存器所指向的地方,这时ESP寄存器已经指向预留出的存储单元了- pop example:
popl %eax
就是从堆栈的栈顶取一个存储单元(32位数值),从堆栈栈顶的位置放到EAX寄存器里,这称为出栈。实际上也做了这样两个动作:
movl (%esp), %eax
addl $4, %esp
第一步是把栈顶的数值放到EAX寄存器里,然后用指令addl把栈顶加4,相当于栈向上回退了一个存储单元的位置,也就是栈在收缩。每次执行指令pushl栈都在增长,执行指令popl栈都在收缩。
二、函数调用堆栈框架
执行过程:
- call XXX
执行call时,cs:eip原来的值
指向ca一条指令,该值被
保存到栈顶,然后cs:ejp的值
指向XXX的入口地址- 进入XXX
第一条指令:push%ebp
第二条指令:movl %esp,%ebp
函数体中的常规操作,可能会压栈、出栈- 退出XXX
movl %ebp, %esp
popl %ebp
ret注意:
enter和leave指令经常看到,其都是宏指令,enter相当于push%ebp和movl %esp,%ebp;leave相当于movl %ebp, %esp和popl %ebp
三、通过实例来查看函数调用堆栈
编写一个简单的三级调用c程序,代码如下:
#include <stdio.h>
void p1(char c){
printf("%c\n", c);
}
int p2(int x, int y){
char c;
c = 'a';
p1(c);
return x+y;
}
int main(void){
int x, y, z;
x = 1;
y = 2;
z = p2(x, y);
printf("%d = %d + %d\n", x, y, z);
return 0;
}
使用gcc -g test.c -o test -m32编译生成32位的文件test,然后在使用objdump -S test进行反汇编,得到的部分汇编代码如下:
0804840b <p1>:
#include <stdio.h>
void p1(char c){
804840b: 55 push %ebp
804840c: 89 e5 mov %esp,%ebp
804840e: 83 ec 18 sub $0x18,%esp
8048411: 8b 45 08 mov 0x8(%ebp),%eax
8048414: 88 45 f4 mov %al,-0xc(%ebp)
printf("%c\n", c);
8048417: 0f be 45 f4 movsbl -0xc(%ebp),%eax
804841b: 83 ec 08 sub $0x8,%esp
804841e: 50 push %eax
804841f: 68 30 85 04 08 push $0x8048530
8048424: e8 b7 fe ff ff call 80482e0 <printf@plt>
8048429: 83 c4 10 add $0x10,%esp
}
804842c: 90 nop
804842d: c9 leave
804842e: c3 ret
0804842f <p2>:
int p2(int x, int y){
804842f: 55 push %ebp
8048430: 89 e5 mov %esp,%ebp
8048432: 83 ec 18 sub $0x18,%esp
char c;
c = 'a';
8048435: c6 45 f7 61 movb $0x61,-0x9(%ebp)
p1(c);
8048439: 0f be 45 f7 movsbl -0x9(%ebp),%eax
804843d: 83 ec 0c sub $0xc,%esp
8048440: 50 push %eax
8048441: e8 c5 ff ff ff call 804840b <p1>
8048446: 83 c4 10 add $0x10,%esp
return x+y;
8048449: 8b 55 08 mov 0x8(%ebp),%edx
804844c: 8b 45 0c mov 0xc(%ebp),%eax
804844f: 01 d0 add %edx,%eax
}
8048451: c9 leave
8048452: c3 ret
08048453 <main>:
int main(void){
8048453: 8d 4c 24 04 lea 0x4(%esp),%ecx
8048457: 83 e4 f0 and $0xfffffff0,%esp
804845a: ff 71 fc pushl -0x4(%ecx)
804845d: 55 push %ebp
804845e: 89 e5 mov %esp,%ebp
8048460: 51 push %ecx
8048461: 83 ec 14 sub $0x14,%esp
int x, y, z;
x = 1;
8048464: c7 45 ec 01 00 00 00 movl $0x1,-0x14(%ebp)
y = 2;
804846b: c7 45 f0 02 00 00 00 movl $0x2,-0x10(%ebp)
z = p2(x, y);
8048472: 83 ec 08 sub $0x8,%esp
8048475: ff 75 f0 pushl -0x10(%ebp)
8048478: ff 75 ec pushl -0x14(%ebp)
804847b: e8 af ff ff ff call 804842f <p2>
8048480: 83 c4 10 add $0x10,%esp
8048483: 89 45 f4 mov %eax,-0xc(%ebp)
printf("%d = %d + %d\n", x, y, z);
8048486: ff 75 f4 pushl -0xc(%ebp)
8048489: ff 75 f0 pushl -0x10(%ebp)
804848c: ff 75 ec pushl -0x14(%ebp)
804848f: 68 34 85 04 08 push $0x8048534
8048494: e8 47 fe ff ff call 80482e0 <printf@plt>
8048499: 83 c4 10 add $0x10,%esp
return 0;
804849c: b8 00 00 00 00 mov $0x0,%eax
}
但拿出p2函数的汇编代码,如下:
0804842f <p2>:
int p2(int x, int y){
804842f: 55 push %ebp // 建立框架
8048430: 89 e5 mov %esp,%ebp // 建立框架
8048432: 83 ec 18 sub $0x18,%esp
char c;
c = 'a';
8048435: c6 45 f7 61 movb $0x61,-0x9(%ebp)
p1(c);
8048439: 0f be 45 f7 movsbl -0x9(%ebp),%eax
804843d: 83 ec 0c sub $0xc,%esp
8048440: 50 push %eax
8048441: e8 c5 ff ff ff call 804840b <p1>
8048446: 83 c4 10 add $0x10,%esp
return x+y;
8048449: 8b 55 08 mov 0x8(%ebp),%edx
804844c: 8b 45 0c mov 0xc(%ebp),%eax
804844f: 01 d0 add %edx,%eax
}
8048451: c9 leave // 拆除框架
8048452: c3 ret
p2堆栈的建立
建立p2的堆栈之前,执行一系列出栈和入栈的操作,p2执行之间还使用call调用了p1,p1堆栈的建立也经过了如上的建立堆栈和拆除堆栈,最后执行完p2函数后进行堆栈的拆除,返回到main,也就是p2的最后两条汇编指令:
8048451: c9 leave // 拆除框架
8048452: c3 ret
其中,leave相当于movl %ebp, %esp和popl %ebp,框架拆除如下图所示:
pop是分两步的,movl (%esp), %eax和addl $4, %esp,上图更清晰的步骤为:
p2拆除框架
其中,movl (%esp), %eax相当于把p2的堆栈清空。
如果再考虑eip的话,整个流程如下图所示:
执行main函数时
执行到p2
建立p2的堆栈
执行到调用p1
建立p1堆栈
p1执行完返回,返回到p2调用处
p2执行结束
p2返回,返回到main调用处
最后,main函数执行完毕,整个程序执行完毕。
网友评论