int fun(int a, int b) {
a = 0x4455;
b = 0x6677;
return a + b;
}
int main() {
fun(0x8899,0x1100);
return 0;
}
主函数调用fun()函数时的汇编代码:
1:00401078 push 1100h //函数fun()的参数入栈
2:0040107D push 8899h //函数fun()的参数入栈
3:00401082 call @ILT+5(fun) (0040100a) //fun()函数调用--------|
5:00401087 add esp,8 //释放堆栈 |
|
|
|
---------------------------------------------------------------------|
|
|
\|/
函数fun()运行时的汇编代码:
ebp是函数的入口指针,因此要入栈保存,等待函数结束时返回。
4:
00401000 push ebp //将ebp值入栈,将ebp作为访问参数的基值
00401001 mov ebp,esp //将栈顶指针放入ebp,作为基址
.............
.............
a = 0x4455//c语言代码,汇编代码在下一行
00401018 mov dword ptr [ebp+8],4455h //本地变量初始化,对栈操作
b = 0x6677//c语言代码,汇编代码在下一行
0040101F mov dword ptr [ebp+0Ch],6677h //本地变量初始化,对栈操作
return a + b//c语言代码,汇编代码在下两行
00401026 mov eax,dword ptr [ebp+8] //将a的值移入eax寄存器中
00401029 add eax,dword ptr [ebp+0Ch] //a加b
.............
.............
0040102F mov esp,ebp //将栈顶指针放回esp
00401031 pop ebp //弹出ebp
00401032 ret //返回
注:在开始处将esp放入ebp是因为esp是个经常变化的值。一旦,函数里出现pop或push他就会变化。这样很不容易定位参数的于内存中的位置。因此,我们需要一个不会变化的东西作为访问参数的基准。因此此处ebp值不变,始终指向刚开始的堆栈顶,而esp则随着压栈和出栈而指向新的栈顶。
/-------------------\ 内存高地址
| 参数2: 0x1100h |
+-----------------+ ebp+0ch
| 参数1: 0x8899h |
+-----------------+ ebp+08h
| 函数返回地址 |
| 0x00401087 | 第三行汇编码的call语句会自动将函数返回地址压栈
+-----------------+ ebp+04h
| ebp副本 |
\-------------------/ 内存低地址 <== 栈顶 ebp
ebp和函数返回值也是32位,所以占4个字节。
call把它下一条语句的地址(eip)push进了堆栈。因为函数调用完了,要用ret返回。而ret怎么知道返回哪里呢?因为ret指令pop了call指令push给他的地址,然后返回到了这个地址(将 该地址放到eip中)。因此call有个隐式的push操作,ret有个隐式的pop操作。