目录
- 1.什么是函数栈帧
- 2.理解函数栈帧能解决什么问题
- 3.函数栈帧的创建和销毁的过程解析
- 3.1 什么是栈
- 3.2 认识相关寄存器和汇编指令
- 3.3 解析函数栈帧的创建和销毁过程
- 3.3.1 准备环境
- 3.3.2 函数的调用堆栈
- 3.3.3 转到反汇编
- 3.3.4 函数栈帧的创建和销毁
1.什么是函数栈帧
在写C语言代码的时候,我们经常会把一个独立的功能抽象成函数,C程序是以函数为基本单位的,那么函数又是如何调用的呢?函数的参数是怎样传递的呢?这些答案都可以在函数栈帧中寻找
函数栈帧(stack frame):函数调用过程中在程序的调用栈(call stack)所开辟的空间,这些空间是用来存放:
- 函数参数和函数返回值
- 临时变量(包括函数的非静态的局部变量以及编译器自动产生的其他临时变量)
- 保存上下文信息(包括用来维护函数调用前后的寄存器)
2.理解函数栈帧能解决什么问题
只要理解好函数栈帧就可以对一下问题有额外的理解:
- 局部变量是如何创建的?
- 为什么局部变量不初始化时为随机值?
- 函数调用时形参的传递的顺序是怎样的?
- 函数的形参和实参的联系是怎样的?
- 函数的返回值是如何带回来的?
3.函数栈帧的创建和销毁的过程解析
3.1 什么是栈
栈(stack)是现代计算机程序中最为重要的概念之一,几乎每一个程序都要用到栈,没有栈就没有函数,没有局部变量,更没有更正语言的桥接
在经典的计算机科学中,栈被定义为一种特殊的容器,用户可以将数据压入栈中(该操作被称为压栈:push),也可以将已经压入栈中的数据弹出(出栈:pop),但是栈这个容器遵守一条规则:先进后出
在计算机系统中,栈则是一个具有以上属性的动态内存区域,程序可以将数据压入栈中,也可以将栈弹出,在经典的操作系统中,栈总是向下增长(由高地址到低地址)的,在我们常见的i386或者x86-64下,栈顶由esp的寄存器定位
3.2 认识相关寄存器和汇编指令
<1.相关寄存器
- eax:通用寄存器,保留临时数据,常用于返回值
- ebx:同样寄存器,保留临时数据
- ebp:栈底寄存器
- esp:栈顶寄存器,与ebp共同维护当前的函数栈帧
- eip:指令寄存器,保存当前指令的下一条指令的地址
<2.相关汇编命令
- mov:数据转移指令,将后面的数据赋值给前面的数据
- push:数据入栈,同时esp寄存器也要发生改变
- pop:数据弹出指定位置,同时esp也要发生改变
- sub:减法命令
- add:加法命令
- call:函数调用,1.压入返回地址 2.转入目标函数
- jump:通过修改eip,转入目标函数,进行调用
- ret:恢复返回地址,压入eip,类似pop eip命令
3.3 解析函数栈帧的创建和销毁过程
3.3.1 准备环境
为了更好地观察函数栈帧的整个过程,需要先关闭一些选项以免受到干扰:
3.3.2 函数的调用堆栈
这里我们写一段简单的代码,并将代码一条一条拆解处理足够好观察内部的细节
注意:函数栈帧的创建和销毁过程,在不同的编译器的实现方法大同小异,但大体的逻辑层次是不会差很多的,本次演示用的是VS2019环境
演示代码:
#include<stdio.h>int Add(int x, int y)
{int z = 0;z = x + y;return z;
}int main()
{int a = 10;int b = 20;int c = 0;c = Add(a, b);printf("%d\n", c);return 0;
}
在VS2019环境下,按F10进入调试,打开窗口的调用堆栈:
调用堆栈是用来反馈函数调用逻辑的
然后继续按F10(按完整个主函数),进入界面:
我们会发现main函数也是被调用的,这里可以清晰地观察到:invoke_main函数调用了main函数,至于是什么函数调用了invoke_main就不再考虑了
3.3.3 转到反汇编
按F10调试到main函数的第一行,右击鼠标转到反汇编
注意:这里调试出来的地址是由系统自动分配的,所以每一次进去调试出来的地址都是不同的
int main()
{
//main函数的函数栈帧的创建
004C1820 push ebp
004C1821 mov ebp,esp
004C1823 sub esp,0E4h
004C1829 push ebx
004C182A push esi
004C182B push edi
004C182C lea edi,[ebp-24h]
004C182F mov ecx,9
004C1834 mov eax,0CCCCCCCCh
004C1839 rep stos dword ptr es:[edi] //main函数中的核心代码int a = 10;
004C183B mov dword ptr [ebp-8],0Ah int b = 20;
004C1842 mov dword ptr [ebp-14h],14h int c = 0;
004C1849 mov dword ptr [ebp-20h],0 c = Add(a, b);
004C1850 mov eax,dword ptr [ebp-14h]
004C1853 push eax
004C1854 mov ecx,dword ptr [ebp-8]
004C1857 push ecx//执行call指令会跳转到Add函数内部
004C1858 call 004C10B4
004C185D add esp,8
004C1860 mov dword ptr [ebp-20h],eax printf("%d\n", c);
004C1863 mov eax,dword ptr [ebp-20h]
004C1866 push eax
004C1867 push 4C7B30h
004C186C call 004C10D2
004C1871 add esp,8 return 0;
004C1874 xor eax,eax }
调试至call指令,按住F11:
//Add函数的函数栈帧
int Add(int x, int y)
{
004C1760 push ebp
004C1761 mov ebp,esp
004C1763 sub esp,0CCh
004C1769 push ebx
004C176A push esi
004C176B push edi int z = 0;
004C176C mov dword ptr [ebp-8],0 z = x + y;
004C1773 mov eax,dword ptr [ebp+8]
004C1776 add eax,dword ptr [ebp+0Ch]
004C1779 mov dword ptr [ebp-8],eax return z;
004C177C mov eax,dword ptr [ebp-8]
}
004C177F pop edi
004C1780 pop esi
004C1781 pop ebx
004C1782 mov esp,ebp
004C1784 pop ebp
004C1785 ret 3.3.4 函数栈帧的创建和销毁
这里我们将拆解每一行汇编代码:
//main函数栈帧的创建,在创建之前esp和ebp维护的是invoke_main的函数栈帧
004C1820 push ebp //将ebp寄存器的值进行压栈,此时存放的是invoke_main的函数栈帧的ebp,esp-4
004C1821 mov ebp,esp //将esp中的值赋给ebp
004C1823 sub esp,0E4h //将esp减去0eE4(十六进制的表示),此时的esp已经指向了一个新的区域用来维护main的函数栈帧
004C1829 push ebx //把ebx的值进行压栈,esp-4
004C182A push esi //把esi的值进行压栈,esp-4
004C182B push edi //把edi的值进行压栈,esp-4
//上面3条指令保存了3个寄存器的值在栈区,这3个寄存器的在函数随后执行中可能会被修改,所以先保存寄
//存器原来的值,以便在退出函数时恢复。004C182C lea edi,[ebp-24h] //lea(load effective address)加载有效地址,将ebp-24h的地址放到edi中
004C182F mov ecx,9 //将9赋给ecx
004C1834 mov eax,0CCCCCCCCh //将0CCCCCCCCh赋给eax
004C1839 rep stos dword ptr es:[edi]
//从edi开始将以ecx的存储数值为个数的4个字节的数据全部改为eax存储的值
//dword:double word(双字),一个字为2个字节,双字就是4个字节
该段汇编的内存:
解释烫烫烫的产生:
之所以得到了这些奇怪的汉字,是因为这里使用了未初始化的字符数组,就导致buf中存储的就是上面的0CCCCCCCCh的值,而0xCCCC的汉字编码就是“烫”
//main函数中的核心代码int a = 10;
004C183B mov dword ptr [ebp-8],0Ah //将0Ah(10)赋给ebp-8的地址处,对变量a初始化int b = 20;
004C1842 mov dword ptr [ebp-14h],14h //将14h(20)赋给ebp-14h的地址处,对变量b初始化int c = 0;
004C1849 mov dword ptr [ebp-20h],0 //将0赋给ebp-20h的地址处,对变量c初始化//调用Add函数c = Add(a, b);
004C1850 mov eax,dword ptr [ebp-14h] //将ebp-14h地址处的值(20)存放在eax中,这里其实就是传递参数b
004C1853 push eax //把eax的值进行压栈
004C1854 mov ecx,dword ptr [ebp-8] //将ebp-8地址处的值(10)存放在ecx中,这里是传递参数a
004C1857 push ecx //把ecx的值进行压栈
该段汇编的内存:
//执行call指令会跳转到Add函数内部,在跳转之前会进行压栈操作
004C1858 call 004C10B4 //把call指令的下一条的地址进行压栈,esp-4,回调函数//Add函数的函数栈帧的创建
004C1760 push ebp //将main函数的ebp的值压栈进行保存,esp-4
004C1761 mov ebp,esp //将esp的值赋给ebp
004C1763 sub esp,0CCh //将esp减去0CCh,esp开始维护新函数Add的函数栈帧
004C1769 push ebx //把ebx的值进行压栈,esp-4
004C176A push esi //将esi的值进行压栈,esp-4
004C176B push edi //将edi的值进行压栈,esp-4
//Add函数中的核心代码int z = 0;
004C176C mov dword ptr [ebp-8],0 //将0赋给ebp-8的地址处 z = x + y;
004C1773 mov eax,dword ptr [ebp+8] //将ebp+8地址处的值赋给eax
004C1776 add eax,dword ptr [ebp+0Ch] //把ebp+0Ch地址处的值加到eax中
004C1779 mov dword ptr [ebp-8],eax //将eax中的值赋到ebp-8的地址处return z;
004C177C mov eax,dword ptr [ebp-8] //将ebp-8地址处的值赋给eax
}该段汇编的内存:
可以看出形参和实参的关系:形参是实参的一份临时拷贝,对形参的修改并不会改变实参
004C177F pop edi //把edi的值进行出栈,esp+4
004C1780 pop esi //把esi的值进行出栈,esp+4
004C1781 pop ebx //把ebx的值进行出栈,esp+4
004C1782 mov esp,ebp //将ebp的值赋给esp
004C1784 pop ebp //把ebp的值进行出栈,ebp此时又回到main函数的ebp,开始维护main函数的函数栈帧,esp+4
004C1785 ret //首先弹出栈顶的值,此时esp+4,并回到call指令的下一条地址处继续执行代码
//Add函数的函数栈帧销毁
回到call指令的下一条指令:
004C185D add esp,8 //esp+8
004C1860 mov dword ptr [ebp-20h],eax //将eax的值(存储的就是Add函数的返回值)赋到ebp-20h的地址处printf("%d\n", c);
004C1863 mov eax,dword ptr [ebp-20h] //将ebp-20h地址处的值赋给eax
004C1866 push eax //将eax的值进行压栈
004C1867 push 4C7B30h //将4C7B30h进行压栈
004C186C call 004C10D2 //继续回调函数
004C1871 add esp,8 //esp+8return 0;
004C1874 xor eax,eax }
该段汇编的内存():
小结:对于函数栈帧的创建和销毁过程可以在VS上独自进行反汇编代码解析 + 内存和监视的观察,理解该过程更有助于对代码底层的东西了解的更深,此外,这里对于main函数的函数栈帧的销毁不再解析,相信了解过Add函数的整个过程后便能明白,上述提出的问题也可以直接回答出
![【BUUCTF逆向题】[MRCTF2020]Transform](https://i-blog.csdnimg.cn/direct/0873b40134ad41f282f961be89d7b154.png)
