函數(shù)調用序，一文即可知

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：主機域名、雅安服務器托管、營銷軟件、網(wǎng)站建設、祥符網(wǎng)站維護、網(wǎng)站推廣。文章目錄

• • 概述
  • • 基礎知識
    • 函數(shù)調用過程
    • 反匯編演示
    • 棧溢出實驗
  • 參考博客

---

😊點此到文末驚喜??

概述基礎知識

1. 程序靜態(tài)內存模型
   • 代碼區(qū)：存放函數(shù)體編譯后的二進制指令，并且是只讀的。
   • 常量區(qū)：存放常量，并且是只讀的，如字符串、數(shù)字、const修飾的全局變量···
   • 靜態(tài)區(qū)&全局區(qū)：存放編譯時即可確定存儲大小的靜態(tài)變量和全局變量，可讀可寫
     • .bss段：存放程序中未初始化的或者初始化為0的全局變量和靜態(tài)變量，但是在可執(zhí)行文件中只簡單維護每個變量起始地址和大小，在運行時由操作系統(tǒng)初始化
     • .data段：存儲已初始化（非零）的全局變量和靜態(tài)變量，占用可執(zhí)行文件空間，其內容有程序初始化
   • 自由存儲區(qū)：自由存儲是C++中通過new和delete動態(tài)分配和釋放對象的抽象概念，new可以被重載從而出現(xiàn)不同的分配方式，如在棧上new
   • 堆區(qū)：存儲malloc動態(tài)分配的內存（new底層也是調用malloc），內存由低地址向高地址生長，由程序員進行內存的分配和釋放，系統(tǒng)維護開銷大，速度比棧慢
   • 棧區(qū)：存儲函數(shù)調用過程，由操作系統(tǒng)進行自動的分配和釋放
2. 進程地址空間（程序動態(tài)內存模型）
   • 只讀代碼段
     • .init段：初始化時調用的小函數(shù)
     • .text段：存放已編譯程序的機器碼
     • .rodata段：存放常量，并且是只讀的，如字符串、數(shù)字、const修飾的全局變量···
   • 共享庫： 該區(qū)域用于映射可執(zhí)行文件用到的動態(tài)鏈接庫
   • 其他如上靜態(tài)模型所示(下面是低地址，上面是高地址)
3. 其他注意事項
   • 使用局部變量時，盡量進行初始化。編譯器不會初始化局部變量，所以如果使用未初始化的局部變量，內部的值是垃圾值。但是debug調試模式下，運行時機制會將?？臻g全部初始化為0
   • 進程是程序的一次動態(tài)運行，靜態(tài)的程序內存模型，載入內存執(zhí)行時會發(fā)生上述變化
4. 棧和堆的區(qū)別
   • 管理方式不同：棧由操作系統(tǒng)自動分配釋放。堆的申請和釋放工作由程序員控制，容易產(chǎn)生內存泄漏；
   • 空間大小不同：通常每個進程的?？臻g遠遠小于堆空間
   • 生長方式不同：堆在內存中由低地址向高地址生長，棧在內存中由高地址向地址生長
   • 分配方式不同：堆都是動態(tài)分配的。棧有 2 種分配方式：靜態(tài)分配和動態(tài)分配。靜態(tài)分配是由操作系統(tǒng)完成的。動態(tài)分配由alloca()函數(shù)分配，由操作系統(tǒng)自動釋放。
   • 分配效率不同。
     • 棧由操作系統(tǒng)自動分配，會在硬件層級對棧提供支持：分配專門的寄存器存放棧的地址，壓棧出棧都有專門的指令執(zhí)行，這就決定了棧的效率比較高。
     • 堆則是由C/C++提供的庫函數(shù)或運算符來完成申請與管理，實現(xiàn)機制較為復雜，頻繁的內存申請容易產(chǎn)生內存碎片。顯然，堆的效率比棧要低得多。
   • 存放內容不同。
     • 棧，存放函數(shù)的調用過程。存放的內容，函數(shù)返回地址、相關參數(shù)、局部變量和寄存器內容等
     • 堆，一般堆頂使用一個字節(jié)的空間來存放堆的大小，而堆中具體存放內容是由程序員來填充的。

函數(shù)調用過程

0. 時間緊迫就不要看，【 call 計算機從開機加電到執(zhí)行main函數(shù)之前的過程】如果看完了這篇文章，別忘了ret返回這里，哈哈哈
1. 任何的C或C++在main函數(shù)執(zhí)行前有一個啟動碼函數(shù)mainCRTStartup()，而main函數(shù)由啟動碼函數(shù)中的invoke_main()調用
2. 構造主函數(shù)棧幀（這也是一個調用過程，現(xiàn)在將main調用子函數(shù)的過程進行細化）
3. call 子函數(shù)名，即主函數(shù)調用子函數(shù)
   • 將主函數(shù)中調用點的下一條指令地址壓入棧中
   • 轉移到調用的子函數(shù)
4. push ebp，將主函數(shù)的棧底指針壓入棧中
5. mov ebp esp，使棧底指針指向棧頂，即構造子函數(shù)的棧底
6. 棧頂下移留出局部變量存儲內存空間
7. 壓入caller-save register（ebx，esi，edi），用于保存函數(shù)的處理信息
8. 初始化棧底ebp指向地址和存儲ebx的地址之間的內存空間
9. 執(zhí)行子函數(shù)
10. 將 caller-save register value逆序彈出到對應寄存器中
11. mov esp ebp，用子函數(shù)的ebp給esp賦值，將棧頂指針指向棧底
12. pop ebp將棧頂?shù)纳弦粋€函數(shù)的ebp值彈出到ebp寄存器中
13. ret將棧頂?shù)闹担ㄖ骱瘮?shù)的調用斷點的下一條指令的地址）彈出到EIP中，EIP會執(zhí)行下一條指令，即返回主函數(shù)。
    

反匯編演示

1. 編譯環(huán)境：vs2022&win10

2. 編譯器問題：編譯器越高級，其中處理的越會繁瑣。在不同的編譯器下，函數(shù)的調用過程中的棧幀的創(chuàng)建是略有差異的，具體細節(jié)取決于編譯器的實現(xiàn)

3. 前置知識

   • 程序寄存器組是所有函數(shù)調用過程的共享資源。所以函數(shù)調用需要將當前函數(shù)執(zhí)行相關的寄存器值保存到函數(shù)自己的棧幀中，當函數(shù)返回時，再將函數(shù)棧幀中的值恢復到相應的寄存器中。IA32采用于一組統(tǒng)一的寄存器使用慣例：寄存器eax,edx,ecx被分為調用者的可用寄存器，即當過程P調用Q時，Q可以覆蓋這些寄存器，而不會破壞任何P所需要的數(shù)據(jù)。另外，ebx,esi,edi分為被調用者保存寄存器，意味著覆蓋他們之前，將這些寄存器的值保存在棧中，并在返回前恢復他們。
   • 調用函數(shù)所做的工作：將當前的指令的下一條指令的地址保存，保存的目的是為了調用結束后修改PC值返回，然后跳轉至目標地址處。實現(xiàn)跳轉是由修改EIP（PC）的值完成的。
   • 任何一個臨時變量都保存在當前的函數(shù)的棧幀內。調用結束后，修改esp和ebp完成空間釋放，但棧幀實際還存在，只是告訴編譯器這部分?？臻g可以被覆蓋掉。文件刪除也是這個原理。
   • return所做的工作是將當前的函數(shù)的返回值地址出棧，利用pop的數(shù)據(jù)修改EIP。
   • 調用函數(shù)的空間時間開銷主要來自于棧幀的開辟與釋放。每個函數(shù)棧幀都有自己的 ebp 和 esp 來維護棧幀空間
   • 函數(shù)的返回值時通過寄存器進行保存和返回的

4. 32位下反匯編（下面從0開始）

// 被調用的子函數(shù)
int sum(int a, int b) {// 5. 構造子函數(shù)棧幀
00451740  push        ebp  //把ebp寄存器的值入棧，此時的ebp中存放的是主調函數(shù)的?；?00451741  mov         ebp,esp// 將當前棧頂指針esp賦值給棧基址寄存器ebp，即現(xiàn)在為子函數(shù)棧幀
00451743  sub         esp,0CCh// 棧頂指針esp下移（棧由高向低生長），即由esp和ebp共同維護這一段子函數(shù)棧幀
00451749  push        ebx  //將寄存器ebx的值壓棧，esp-4
0045174A  push        esi  //將寄存器esi的值壓棧，esp-4
0045174B  push        edi  //將寄存器edi的值壓棧，esp-4
0045174C  lea         edi,[ebp-0Ch]  //先把ebp-0E4h的地址，放在edi中
// 下三行將ebp指向的內存到值為ebx之間初始化成0CCCCCCCCh  
0045174F  mov         ecx,3  
00451754  mov         eax,0CCCCCCCCh  
00451759  rep stos    dword ptr es:[edi]  
// 下兩行為編譯器debug模式下調試用的cookie
0045175B  mov         ecx,offset _01833B24_TestCpp@cpp (045C008h)  
00451760  call        @__CheckForDebuggerJustMyCode@4 (045130Ch)  
	// 6. 執(zhí)行子函數(shù)功能
	int c = a + b;
00451765  mov         eax,dword ptr [a]  
00451768  add         eax,dword ptr [b]  
0045176B  mov         dword ptr [c],eax  
	return c;
// 返回值放入eax中，函數(shù)調用返回時不會被覆蓋
0045176E  mov         eax,dword ptr [c]  
}
00451771  pop         edi  //在棧頂彈出一個值，存放到edi中，esp+4
00451772  pop         esi  //在棧頂彈出一個值，存放到esi中，esp+4
00451773  pop         ebx  //在棧頂彈出一個值，存放到ebx中，esp+4
// 下三行為debug模式下的cookie
00451774  add         esp,0CCh  
0045177A  cmp         ebp,esp  
0045177C  call        __RTC_CheckEsp (0451235h)  
	// 7. 將棧幀恢復為主函數(shù)的棧幀（ebp和esp）
00451781  mov         esp,ebp // 將子函數(shù)的棧底指針賦值給棧頂指針esp，相當于回收棧，但是子函數(shù)棧幀仍然存在棧中 
00451783  pop         ebp  //彈出棧頂?shù)闹荡娣诺絜bp，棧頂此時的值恰好就是main函數(shù)的ebp，esp+4，此時恢復了main函數(shù)的棧幀維護，esp指向main函數(shù)棧幀的棧頂，ebp指向了main函數(shù)棧幀的棧底。
	// 8. 返回到主函數(shù)的調用點的下一條指令的地址
00451784  ret  //ret指令的執(zhí)行，首先是從棧頂彈出一個值，此時棧頂?shù)闹稻褪莄all指令下一條指令的地址，此時esp+4，然后直接跳轉到call指令下一條指令的地址處，繼續(xù)往下執(zhí)行
···
// 主函數(shù)
int main() {// 0. 構造主函數(shù)棧幀(配合堆棧結構圖片看更容易理解)
004517B0  push        ebp  //把ebp寄存器的值入棧，此時的ebp中存放的是invoke_main?；?004517B1  mov         ebp,esp // 將當前棧頂指針esp賦值給?；芳拇嫫鱡bp，即現(xiàn)在為mian函數(shù)棧幀
004517B3  sub         esp,0D8h// 棧頂指針esp下移（棧由高向低生長），即由esp和ebp共同維護這一段mian棧幀  
004517B9  push        ebx //將寄存器ebx的值壓棧，esp-4，這三個應該是main的三個形參變量 
004517BA  push        esi //將寄存器esi的值壓棧，esp-4 
004517BB  push        edi //將寄存器edi的值壓棧，esp-4 
004517BC  lea         edi,[ebp-18h]  //先把ebp-18h的地址，放在edi中
// 下三行將ebp指向的內存到值為ebx之間初始化成0CCCCCCCCh  
004517BF  mov         ecx,6  
004517C4  mov         eax,0CCCCCCCCh  
004517C9  rep stos    dword ptr es:[edi]
// 下兩行為編譯器debug模式下調試用的cookie  
004517CB  mov         ecx,offset _01833B24_TestCpp@cpp (045C008h)  
004517D0  call        @__CheckForDebuggerJustMyCode@4 (045130Ch)  
// 函數(shù)功能實現(xiàn)
	// 1. 為main函數(shù)棧幀中的局部變量賦值（系統(tǒng)啥時候把a和b初始化成main堆棧的？）
	int a = 1;
004517D5  mov         dword ptr [a],1  // a相當于一個指針，將1賦值到a指向的內存中，實際在mian函數(shù)的棧幀中
	int b = 2;
004517DC  mov         dword ptr [b],2  // 同上
	sum(a, b);
	// 2. 將被調用函數(shù)的參數(shù)從右向左依次用通用寄存器保存
004517E3  mov         eax,dword ptr [b]  
004517E6  push        eax  
004517E7  mov         ecx,dword ptr [a]  
004517EA  push        ecx  
	// 3. call子函數(shù)，分成兩步，1.將程序下一條指令地址壓入棧中2.轉移到調用的子函數(shù)（最后一行）
004517EB  call        sum (045116Dh)  
004517F0  add         esp,8  
	return 0;
004517F3  xor         eax,eax  
}
004517F5  pop         edi  
004517F6  pop         esi  
004517F7  pop         ebx  
004517F8  add         esp,0D8h  
004517FE  cmp         ebp,esp  
00451800  call        __RTC_CheckEsp (0451235h)  
00451805  mov         esp,ebp  
00451807  pop         ebp  
00451808  ret  
// 以下是函數(shù)表，只是一個中轉作用
···
	// 4. 執(zhí)行跳轉指令到子函數(shù)的執(zhí)行（第一行）
0045116D  jmp         sum (0451740h)
··· 

5. 64位下反匯編，代碼沒問題，但是我的注釋可能有問題，有的地方?jīng)]理解，等我神功大成

#include// 主函數(shù)調用的子函數(shù)
int sum(int a, int b) {// 4. 將子函數(shù)的參數(shù)自右向左依次壓入棧中
00007FF7F5631740  mov         dword ptr [rsp+10h],edx // 棧由高地址向低地址生長
00007FF7F5631744  mov         dword ptr [rsp+8],ecx  // 這是低地址
	// 5. 壓入主調函數(shù)的?；罚瓷弦粋€棧幀的開始地址
00007FF7F5631748  push        rbp  
	// 6.將主調函數(shù)的函數(shù)調用點的下一條指針地址壓入棧中
00007FF7F5631749  push        rdi  
00007FF7F563174A  sub         rsp,108h  
00007FF7F5631751  lea         rbp,[rsp+20h]  
00007FF7F5631756  lea         rcx,[__01833B24_TestCpp@cpp (07FF7F5641008h)]  
00007FF7F563175D  call        __CheckForDebuggerJustMyCode (07FF7F5631343h)  
	// 7. 執(zhí)行函數(shù)體內的功能語句
	int c = a + b;
00007FF7F5631762  mov         eax,dword ptr [b]  
00007FF7F5631768  mov         ecx,dword ptr [a]  
00007FF7F563176E  add         ecx,eax  
00007FF7F5631770  mov         eax,ecx  
00007FF7F5631772  mov         dword ptr [c],eax  
	return c;
00007FF7F5631775  mov         eax,dword ptr [c]  // 將返回值賦值到eax中
}
00007FF7F5631778  lea         rsp,[rbp+0E8h]
	// 8. 注意此時棧頂依次為rdi rbp。所以逆序pop到相應的寄存器中
00007FF7F563177F  pop         rdi  
00007FF7F5631780  pop         rbp  
	// 9. ret是子函數(shù)返回指令，與call搭配使用，修改pc（存儲下一條將要執(zhí)行的指令地址），并恢復主函數(shù)堆棧
00007FF7F5631781  ret  
// main函數(shù)
int main() {// 0. debug模式下的插入的cookie？
00007FF7F56317A0  push        rbp  
00007FF7F56317A2  push        rdi  
00007FF7F56317A3  sub         rsp,128h  
00007FF7F56317AA  lea         rbp,[rsp+20h]  
00007FF7F56317AF  lea         rcx,[__01833B24_TestCpp@cpp (07FF7F5641008h)]  
00007FF7F56317B6  call        __CheckForDebuggerJustMyCode (07FF7F5631343h)  
	// 1. 分別開辟4個字節(jié)大小的雙字內存并將值移入
	int a = 1;
00007FF7F56317BB  mov         dword ptr [a],1  
	int b = 2;
00007FF7F56317C2  mov         dword ptr [b],2  
	// 2. 將參數(shù)壓入寄存器中，調用子函數(shù)
	sum(a, b);
00007FF7F56317C9  mov         edx,dword ptr [b]  // 將內存地址為a的雙字類型的數(shù)據(jù)賦值給edx
00007FF7F56317CC  mov         ecx,dword ptr [a]  
00007FF7F56317CF  call        sum (07FF7F56313A2h)  // 調用子函數(shù)（最后一行）
	return 0;
00007FF7F56317D4  xor         eax,eax  
}
00007FF7F56317D6  lea         rsp,[rbp+108h]  
00007FF7F56317DD  pop         rdi  
00007FF7F56317DE  pop         rbp  
00007FF7F56317DF  ret  

// 從函數(shù)表中截取的子函數(shù)跳轉指令
	// 3. 跳轉到子函數(shù)
00007FF7F56313A2  jmp         sum (07FF7F5631740h)  // 第一行
···

棧溢出實驗

1. 【深度補充】這樣還學不會棧溢出的小伙伴麻煩私信我https://www.bilibili.com/video/BV1QV411r7UU/?spm_id_from=333.337.search-card.all.click&vd_source=ce626ff62ed6a7b65ff163189a520fb1
2. 兩個棧溢出的CVE漏洞實驗https://blog.csdn.net/qq_43840665/article/details/124265725

---

少年，我觀你骨骼清奇，穎悟絕倫，必成人中龍鳳。秘籍（點擊圖中書籍）·有緣·贈予你

---

🚩點此跳轉到首行??

參考博客

1. 侯捷——c++的生前死后
2. 一文讀懂 .bss段 的作用
3. 簡述代碼中關于.data、.bss、.rodata、.text段的意義
4. 一文讀懂堆與棧的區(qū)別
5. 《C語言》函數(shù)棧幀的創(chuàng)建與銷毀–（內功）
6. 函數(shù)調用的執(zhí)行過程
7. 函數(shù)調用過程中函數(shù)棧詳解

你是否還在尋找穩(wěn)定的海外服務器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機房具備T級流量清洗系統(tǒng)配攻擊溯源，準確流量調度確保服務器高可用性，企業(yè)級服務器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧

當前題目：【源碼剖析】內存分區(qū)和函數(shù)調用原理-創(chuàng)新互聯(lián)
網(wǎng)頁URL：http://weahome.cn/article/ddioog.html