栈帧

C语言中，每个栈帧对应着一个未运行完的函数,栈中保存了一个函数调用所需要维护的信息，这常常被称为堆栈帧或活动记录。

堆栈帧包括的内容：

• 函数的返回地址和参数
• 临时变量：包括函数的非静态局部变量以及编译器自动生成的其他临时变量。
• 保存的上下文：包括在函数调用前后需要保持不变的寄存器

我们知道每一次函数调用都是一个过程，一个函数的活动记录用ebp和esp这两个寄存器划定范围

• ebp(帧指针)：存放了指向函数栈帧栈底的地址
• esp(栈指针)：存放了指向函数栈帧栈顶的地址

函数调用

函数调用步骤：

• 参数入栈:按照函数调用惯例将所有或一部分参数压入栈中，如果有其他参数没有入栈，那么使用特定的寄存器传递
• 返回地址入栈: 将当前代码区调用指令的下一条指令地址压入栈中，供函数返回时继续执行
• 代码跳转: 跳转到被调用函数的函数体执行

函数体的标准开头:

• push ebp:将调用者的ebp压栈处理，保存指向栈底的ebp的地址,方便函数返回之后的现场恢复
• mov ebp,esp:将当前栈帧切换到新栈帧(将esp值装入ebp，更新栈帧底部), 这时ebp指向栈顶，此时栈顶就是old ebp
• sub esp,XXX:在栈上分配XXX字节的临时空间
• push XXX:如有需要，保存名为XX的寄存器(可保存多个)

函数调用的参数显然存储在函数调用者的栈帧中，不是被调用函数的栈帧中

函数返回

函数返回步骤:

• mov eax, xxx：保存被调用函数的返回值到 eax 寄存器中
• mov esp,ebp:恢复esp,回收局部变量空间
• pop ebp: 将上一个栈帧底部位置恢复到 ebp
• ret:弹出当前栈顶元素,从栈中取到返回地址,并跳转到该位置

gdb反汇编出来的代码主要分为3个部分：

• 指令地址
• 指令相对于当前函数起始地址以字节为单位的偏移
• 指令

举例分析

#include<stdio.h>
 
 int sum(int a,int b)
  {
      int s=a+b;
      return s;
  }
  
  
  int main(int argc,char *argv[])
  {
    int n=sum(1,2);
    printf("n=%d\n",n);
 
    return 0;
  }

0x080483db <+0>:	push   %ebp

需要说明的是：gdb反汇编输出的结果中的指令地址和偏移只是gdb为了让我们更容易阅读代码而附加上去的，保存在内存中的以及被CPU执行的代码只有上图中的指令部分

   0x080483db <+0>:	push   %ebp
   0x080483dc <+1>:	mov    %esp,%ebp
   0x080483de <+3>:	and    $0xfffffff0,%esp
   0x080483e1 <+6>:	sub    $0x20,%esp
   0x080483e4 <+9>:	movl   $0x2,0x4(%esp)
   0x080483ec <+17>:	movl   $0x1,(%esp)
   0x080483f3 <+24>:	call   0x80483c4 <sum>
   0x080483f8 <+29>:	mov    %eax,0x1c(%esp)
   0x080483fc <+33>:	mov    $0x80484e4,%eax
   0x08048401 <+38>:	mov    0x1c(%esp),%edx
   0x08048405 <+42>:	mov    %edx,0x4(%esp)
   0x08048409 <+46>:	mov    %eax,(%esp)
   0x0804840c <+49>:	call   0x80482f4 <printf@plt>
   0x08048411 <+54>:	mov    $0x0,%eax
   0x08048416 <+59>:	leave  
   0x08048417 <+60>:	ret    

注意:上面反汇编的结果中的第一行代码的最左边有一个=>符号，该符号表示这条指令是CPU将要执行的下一条指令。也就是ebp寄存器目前的值为0x080483db,当前的状态是前一条指令已经执行完毕，这一条指令还未执行。

使用i r ebp esp eip查看rbp,rsp和rip这3个寄存器的值

(gdb) i r ebp esp eip
ebp            0xbffff3d8	0xbffff3d8
esp            0xbffff35c	0xbffff35c
eip            0x80483db	0x80483db <main>

为了更加清晰的理解程序的执行流程，现在我们对从main函数的第一条指令开始，一直到main函数的所有指令进行分析

第1条指令:

 0x080483db <+0>:	push   %ebp

这条指令把栈基地址寄存器ebp的值临时保存在mian函数的栈帧中，因为 main函数需要使用这个寄存器来存放自己的栈基地址，而调用者在调用main 函数之前也可能把它的栈基地址保存在了这个寄存器里面，所以main函数需要把这个寄存器里面的值先保存起来，等main函数执行完后返回时再把这个寄存器恢复原样，如果不恢复原样，main函数返回后调用者使用ebp寄存器时就会出现问题，因为在执行调用者的代码时ebp本来应该指向调用者的栈帧，现在却指向了main函数的栈帧。

在这条指令之前，代码还在使用调用者的栈帧，执行完这条指令之后，代码开始使用main函数的栈帧，目前main函数的栈帧里面只保存有调用者的ebp这一个值。

第2条指令

0x080483dc <+1>:	mov    %esp,%ebp

这条指令把ebp的值复制到esp寄存器，让其指向main函数栈帧的起始位置，执行完这条指令之后，esp和ebp寄存器具有相同的值，它们都指向了main函数的栈帧的起始位置。

第3条指令：

 0x080483de <+3>:	and    $0xfffffff0,%esp

AND 指令:在两个操作数的对应位之间进行（按位）逻辑与（AND）操作，并将结果存放在目标操作数esp中.

第4条指令：

  0x080483e1 <+6>:	sub    $0x20,%esp

该指令esp寄存器的值减去了32,让esp指向了栈空间中一个更低的位置，这条指令看似只是简单地修改了esp寄存器地值，其本质是给main函数地局部变量和临时变量预留了32个字节的栈空间，为什么说是预留而不是分配，因为栈的分配是由操作系统自动完成的，程序启动时操作系统就会为我们分配一大块内存用作函数调用栈，程序最终使用了多少栈内存由ebp和esp来确定。

该指令完成后，从esp指令所指位置到ebp所指的这一段占内存就构成了main函数的完整栈帧

第5和第6条指令：

0x080483e4 <+9>:	movl   $0x2,0x4(%esp)
0x080483ec <+17>:	movl   $0x1,(%esp)

这两条指令在给sum函数准备参数，我们可以看到，传递给sum的第一个参数放在了esp寄存器里面，第二个参数放在了esp+0x4里面(这里用到了esp加偏移量的方式来访问栈内存)。

第7条指令：

0x080483f3 <+24>:	call   0x80483c4 <sum>

参数准备好了之后，接着执行call指令调用sum函数

call指令的执行过程：

• 开始执行它的时候eip指向的是call指令的下一条指令，也就是说eip寄存器的值是0x080483f8 这个地址
• 在call指令执行过程中，call指令会把当前eip的值（0x080483f8 ）入栈
• 然后把eip的值修改为call指令后面的操作数，这里是0x80483c4
• 也就是sum函数第一条指令的地址，这样cpu就会跳转到sum函数去执行
• 这样eip就指向了sum函数的第1条指令，sum函数执行完成返回之后需要执行的指令的地址0x080483f8也已经保存到了main函数的栈帧之中

现在使用disass sum 来看sum函数反汇编的结果如下：

   0x080483c4 <+0>:	push   %ebp
   0x080483c5 <+1>:	mov    %esp,%ebp
   0x080483c7 <+3>:	sub    $0x10,%esp
   0x080483ca <+6>:	mov    0xc(%ebp),%eax
   0x080483cd <+9>:	mov    0x8(%ebp),%edx
   0x080483d0 <+12>:	lea    (%edx,%eax,1),%eax
   0x080483d3 <+15>:	mov    %eax,-0x4(%ebp)
   0x080483d6 <+18>:	mov    -0x4(%ebp),%eax
   0x080483d9 <+21>:	leave  
   0x080483da <+22>:	ret    

sum函数的前2条指令跟main函数前两条指令一模一样

0x080483c4 <+0>:	push   %ebp
0x080483c5 <+1>:	mov    %esp,%ebp

这里sum函数保存了main函数的ebp寄存器的值，并使ebp指向了自己栈帧的起始位置。

第3条指令：

 0x080483c7 <+3>:	sub    $0x10,%esp

是给sum函数地局部变量和临时变量预留了16个字节的栈空间

接下来几条指令：

   0x080483ca <+6>:	mov    0xc(%ebp),%eax
   0x080483cd <+9>:	mov    0x8(%ebp),%edx
   0x080483d0 <+12>:	lea    (%edx,%eax,1),%eax
   0x080483d3 <+15>:	mov    %eax,-0x4(%ebp)
   0x080483d6 <+18>:	mov    -0x4(%ebp),%eax

把ebp+0xc的值放到eax寄存器中，把ebp+0x8的值放到edx中，lea指令将edx和eax的值求和，并将结果放在eax寄存器中。

通过rbp寄存器加偏移量的方式把eax寄存器中的值保存在当前栈帧的合适位置，然后又取出来放入寄存器，这里有点多此一举，因为我们编译的时候未给gcc指定优化级别，gcc编译程序时默认不做任何优化，所以代码看起来比较啰嗦。

0x080483da <+22>:	ret 

该指令把esp指向的栈单元中的0x080483f8取出给eip寄存器，同时esp加8，这样eip寄存器中的值就变成了main函数中调用sum的call指令的下一条指令，于是就返回到main函数中继续执行

继续执行main函数中的指令

	mov    %eax,0x1c(%esp)

把sum函数的返回值放入esp+0x1c所指的内存。

后面的几条指令：

   0x080483fc <+33>:	mov    $0x80484e4,%eax
   0x08048401 <+38>:	mov    0x1c(%esp),%edx
   0x08048405 <+42>:	mov    %edx,0x4(%esp)
   0x08048409 <+46>:	mov    %eax,(%esp)
   0x0804840c <+49>:	call   0x80482f4 <printf@plt>

首先为printf函数准备参数然后调用printf函数，在此就不分析它们了，因为调用printf和sum的过程差不多。

0x08048411 <+54>:	mov    $0x0,%eax

该指令的作用在于把main函数的返回值0放在eax寄存器中，等main返回后调用main函数的函数可以拿到这个返回值。

0x08048416 <+59>:	leave  

该指令相当于如下两条指令：

mov  %ebp, %esp
pop  %ebp

leave指令首先把ebp寄存器中的值复制给esp，这样esp就指向了ebp所指的栈单元，然后把使该内存单元中的值pop给ebp寄存器，这样ebp和esp的值就恢复成刚刚进入main函数时的状态了。

到此main函数就只剩下ret指令

0x08048417 <+60>:	ret  

这条指令执行完成后就会完全返回到调用main函数的函数中去继续执行。