从内存的角度详细的分析C语言中的函数调用过程:
首先写一个测试用的代码:
#include <stdio.h>
int add(int x, int y)
{
int z = 0;
z = x + y;
return z;
}
int main()
{
int a = 1, b = 2;
int c = 0;
c = add(a, b);
return 0;
}
这是一个简单的的求和函数。
其次,让我们确定一下,程序是从哪里开始运行的:
调试程序,按一下F10(博主用的VS2013),
进入main函数:
然后进调试--->窗口--->调用堆栈(用来显示函数的调用关系)。
发现正在调用main这个函数,但现在我想知道是谁在调用main函数,F10一路走到return 0,接着换F11(逐语句调试),然后会发现,main函数返回后,我们来到了这里:
再看看此时的调用堆栈:
直接来看,现在运行的函数是__tmainCRTStartup(),这个函数又被mainCRTStratup()调用,而我们刚刚是从main()函数返回来的,所以,main()函数是由__tmainCRTStartup()这个函数调用的。
了解了main()函数是被谁调用后,我们可以进一步分析这其中的细节了!
现在重新F10进入调试,到这一步:
进入main()函数后还没有执行任何一条语句,我们 右击-->转到反汇编:
看到了汇编语言的代码,图中的ebp和esp是什么东西呢?我们知道,调用函数的时候操作系统要给这个函数分配一段内存空间,之前又说了main()函数是由—__tCRTStartup()函数调用的,所以请看:
mainCRTStratup()函数调用__tmainCRTStra()函数的时候就会从栈上为__tmainCRTStra()分配类似图中这么一块空间,把这块空间叫做栈帧。我们知道栈是由高地址向低地址扩展的。其中ebp叫做栈底指针,esp叫做栈顶指针(当然也有其它叫法)。ebp,esp本身是一个寄存器,其中存放了地址时,我们就称之为指针!
现在再来看汇编程序:
按一下F10执行第一条语句,箭头指向下一条语句,变成这样:
(和我们在外边的调试是一样的)这句 push ebp 就是将ebp中的值进行压栈,而此时ebp存放的是系统分给__tmainCRTStartup()函数的空间的起始地址。因为我们现在要调用main()函数了,所以当然要先把__tmainCRTStartup()函数的运行状态保存下来,这样main()函数才能返回的时候才能找得到!push是在栈顶进行的,所以,push之后,esp要向上移动:
刚刚说了,栈是由高地址向低地址扩展的,所以这个push操作应该是对esp进行一个减操作,具体见了多少,可以在内存里查一查:
先看一下push之前esp的的值:
esp的当前值为0x00ABFA30,代表它指向0x00ABFA30这个地址代表的内存。
再看一下push之后esp的值发生了什么变化:
变成了0x00ABFA2C,差了4个字节,就是放进去的地址的大小。
然后继续执行下一条语句: mov ebp,esp
即把esp的值赋给ebp,这样,ebp也就指向了现在esp的位置,如下图:
接着又执行语句:sub esp,0E4h
即将esp的值减去E4h,所以esp向上移动了E4h个位置(相当于申请了这么大的一块空间),新申请的这块空间就给main()用了。如下:
接下来紧接着三条push语句将后面要用到的寄存器中原来的值存储起来,等我们借用完寄存器后再给人家pop回去,不管它,这里esp再向上移动三次。
(ps:图片太大,所以只截了当前要用到的)
紧接着的四条语句共同完成一个任务,就是将图中最大长方形区域初始化为0CCCCCCCh(你经常看到的:烫烫烫烫......)
第一句:lea edi,[ebp-0E4h]
就是将ebp减去E4h的值赋给edi,这个E4h是不是很眼熟呢?它就是我们上一步分配给main()的空间的大小,即edi指向了3次push之前的esp的位置;
第二句:mov ecx,39h
把39h放在ecx中(充当了计数器)
第三句:mov eax,0CCCCCCCCh
把要初始化的数据写入eax
最后一句:rep stos dword ptr es:[edi]
循环的从低地址(ebp-0E4h)向高地址(ebp)写0CCCCCCCCh,循环了39h次!
我们在执行之前转到内存中看一下:
先查找ebp:
(我往下拖了一点,左下角的光标处的地址就是ebp当前值0z00ABFA2C)
四条语句执行后:
相应的位置已经被初始化为0CCCCCCCh,其它部分是乱码(此时ebp值为0x00ABFA2C,它之上的一段空间是分配给main()的)
程序继续往下执行:
mov dword ptr [ebp-8],1 在ebp-8h的位置放一个1,
mov dword ptr [ebp-14h], 2 在ebp-14h的位置放一个2
即分别创建了a,b两个变量,如图:
接着创建c:
此时我们的内存分配变成了这样:
然后到了这里,调用add()准备工作:
mov eax,dword ptr [ebp-14h] 是把ebp-14h位置的值放入eax(此时ebp-14h的值是我们的变量b的值),然后:push eax , 即eax压栈;
同理,mov ecx,dword ptr [ebp-8] 把ebp-8位置的值放入ecx,然后ecx压栈。如下(传递形参给x和y):
程序到这:
在汇编里我们用call调用一个函数(_add是一个标号,它代表了一个地址,是add()函数的首地址),而call在执行的同时,会把它下一条指令的地址(就是图中的00D1450)push到main()的栈桢中去,以便add()执行完后返回的时候还可以找到程序当初执行到了哪里,然后接着执行。
为了证明这一点,我们先查看一下esp所指向内存的值:
然后F11跟进去到这里:
再查看esp所指内存:
可以看到esp的位置发生了改变,此时内存中的值 50 14 0d 00 是不是很像刚刚的call语句下一条指令地址呢?对它就是00 0d 14 50 的小端字节序,这里不再解释小端字节序,只需理解它是内存中字节存储的一种方式,有兴趣的可以查看:http://blog.csdn.net/qq_33724710/article/details/51056542
栈桢分配图变成了这样:
接着F11执行刚刚的jmp语句:
历尽千辛万苦终于进入add()!现在贴出来的这几句代码就和我们刚刚进入main()函数的语句大同小异了。
push ebp //ebp压栈
mov ebp,esp //ebp指向esp所指
sub esp,0CCh //esp - 0CCh, 开辟了新的栈桢
push ebx //3个push,照旧不管它
push esi
push edi
lea edi,[ebp-0CCh] //初始化烫烫烫烫......
mov ecx,33h
mov eax,0CCCCCCCCh
rep stos dword ptr es:[edi]
然后到这里:
给ebp-8处放了个0,就是创建z啦!
再接着到这里:
eax,dword ptr [ebp+8] //注意是加了8,取出的是我们之前传递进来的形参值1,放到eax
add eax,dword ptr [ebp+0Ch] //取epb+0Ch,取出的是我们之前传递进来的形参值2,加到eax
dword ptr [ebp-8],eax //再把求和后的值eax赋给epb - 8的位置,就是z喽!
程序执行到这,准备返回main()了:
因为z是个临时变量,出了add()就会销毁,要返回z的值,就要把它的值放进寄存器:
mov eax,dword ptr [ebp-8] //epb-8找到的就是z,赋给eax
pop edi //连续三个pop,之前连续三个push我们没管它,现在仍然不管它
pop esi
pop ebx
3次pop后,esp高地址处移动了3个单位:
虽然esp上边的空间还在,但是已经不属于当前的栈桢了,相当于释放掉了!
然后:
mov esp,ebp //esp指向当前ebp
pop ebp //main()起始地址赋给给ebp,esp往高地址处移动一次
所以变成这样:
最后执行ret,程序回到这里:
看见了没,ret指令自动取出了call的下一条语句地址(ret自动执行了pop,esp又往高地址处移动了一次)赋给了PC(PC总是指向下一条要执行的语句)。
接着的add esp,8 使esp继续往高地址方向移动,并跳过1,2两个参数,如下:
mov dword ptr [ebp-20h],eax //还记得eax吗,当初我们把求和的结果,即 z 的值赋给了它,ebp-20h依然是当初的c
现在,我们要的结果已经赋给 c 了!
xor eax,eax //eax没用了,异或eax,清零
pop edi //又是连续3个pop
pop esi
pop ebx
add esp,0E4h //oE4h,当出开辟的main()栈桢的大小,现在释放掉
cmp ebp,esp //不管它
call 000D113B //不管它
mov esp,ebp //释放main()栈桢
pop ebp //ebp指向__tmainCRTStartup()起始地址,esp下移
ret //返回到__tmainCRTStartup()
__tmainCRTStartup()和mainCRTStart()里边的过程就不在分析了!