我們經常會討論這樣的問題:什么時候數據存儲在飛鴿傳書堆棧(Stack)中�����,什么時候數據存儲在堆(Heap)中。我們知道�,局部變量是存儲在堆棧中的�����;debug時,查看堆?����?梢灾篮瘮档恼{用順序�����;函數調用時傳遞參數���,事實上是把參數壓入堆棧�,聽起來���,堆棧象一個大雜燴�����。那么�,堆棧(Stack)到底是如何工作的呢�����? 本文將詳解C/C++堆棧的工作機制�。閱讀時請注意以下幾點:
1)本文討論的語言是 Visual C/C++�����,由于高級語言的堆棧工作機制大致相同,因此對其他高級語言如C#也有意義�����。
2)本文討論的堆棧���,是指程序為每個線程分配的默認堆棧���,用以支持程序的運行���,而不是指程序員為了實現算法而自己定義的堆棧�����。
3) 本文討論的平臺為intel x86�����。
4)本文的主要部分將盡量避免涉及到匯編的知識�,在本文最后可選章節���,給出前面章節的反編譯代碼和注釋�����。
5)結構化異常處理也是通過堆棧來實現的(當你使用try…catch語句時,使用的就是c++對windows結構化異常處理的擴展)���,但是關于結構化異常處理的主題太復雜了���,本文將不會涉及到���。
![document_thumb_thumb[4]](http://s1.VeVb.com/20170221/4epu3nyt3wz27.png "document_thumb_thumb[4]")
從一些基本的知識和概念開始
1) 程序的堆棧是由處理器直接支持的�����。在intel x86的系統中���,堆棧在內存中是從高地址向低地址擴展(這和自定義的堆棧從低地址向高地址擴展不同),如下圖所示:
因此�����,棧頂地址是不斷減小的,越后入棧的數據�����,所處的地址也就越低�。
2) 在32位系統中�,堆棧每個數據單元的大小為4字節�����。小于等于4字節的數據�,比如字節、字���、雙字和布爾型�����,在堆棧中都是占4個字節的�;大于4字節的數據在堆棧中占4字節整數倍的空間。
3) 和堆棧的操作相關的兩個寄存器是EBP寄存器和ESP寄存器的�����,本文中�,你只需要把EBP和ESP理解成2個指針就可以了���。ESP寄存器總是指向堆棧的棧頂�����,執行PUSH命令向堆棧壓入數據時,ESP減4�,然后把數據拷貝到ESP指向的地址�����;執行POP命令時,首先把ESP指向的數據拷貝到內存地址/寄存器中�,然后ESP加4�。EBP寄存器是用于訪問堆棧中的數據的,它指向堆棧中間的某個位置(具體位置后文會具體講解)���,函數的參數地址比EBP的值高,而函數的局部變量地址比EBP的值低���,因此參數或局部變量總是通過EBP加減一定的偏移地址來訪問的,比如,要訪問函數的第一個參數為EBP+8�����。
4) 堆棧中到底存儲了什么數據�����? 包括了:函數的參數���,函數的局部變量���,寄存器的值(用以恢復寄存器),函數的返回地址以及用于結構化異常處理的數據(當函數中有try…catch語句時才有,本文不討論)�����。這些數據是按照一定的順序組織在一起的�����,我們稱之為一個堆棧幀(Stack Frame)�。一個堆棧幀對應一次函數的調用�����。在函數開始時�,對應的堆棧幀已經完整地建立了(所有的局部變量在函數幀建立時就已經分配好空間了�����,而不是隨著函數的執行而不斷創建和銷毀的)�����;在函數退出時���,整個函數幀將被銷毀�。
5) 在文中�,我們把函數的調用者稱為Caller(調用者)�����,被調用的函數稱為Callee(被調用者)���。之所以引入這個概念,是因為一個函數幀的建立和清理���,有些工作是由Caller完成的�,有些則是由Callee完成的���。
開始討論堆棧是如何工作的
我們來討論堆棧的工作機制�����。堆棧是用來支持函數的調用和執行的,因此�����,我們下面將通過一組函數調用的例子來講解���,看下面的代碼:
view sourcePRint? 這段代碼本身并沒有實際的意義�����,我們只是用它來跟蹤堆棧���。下面的章節我們來跟蹤堆棧的建立�,堆棧的使用和堆棧的銷毀�����。
堆棧的建立
我們從main函數執行的第一行代碼�����,即int result=foo(3,4); 開始跟蹤�。這時main以及之前的函數對應的堆棧幀已經存在在堆棧中了�,如下圖所示:
圖1
參數入棧
當foo函數被調用,首先���,caller(此時caller為main函數)把foo函數的兩個參數:a=3,b=4壓入堆棧���。參數入棧的順序是由函數的調用約定(Calling Convention)決定的�����,我們將在后面一個專門的章節來講解調用約定�。一般來說�����,參數都是從左往右入棧的���,因此���,b=4先壓入堆棧�����,a=3后壓入���,如圖:
圖2
返回地址入棧
我們知道�����,當函數結束時�����,代碼要返回到上一層函數繼續執行,那么�,函數如何知道該返回到哪個函數的什么位置執行呢?函數被調用時�����,會自動把下一條指令的地址壓入堆棧���,函數結束時���,從堆棧讀取這個地址���,就可以跳轉到該指令執行了���。如果當前"call foo"指令的地址是0x00171482,由于call指令占5個字節���,那么下一個指令的地址為0x00171487�,0x00171487將被壓入堆棧:
圖3
代碼跳轉到被調用函數執行
返回地址入棧后�,代碼跳轉到被調用函數foo中執行���。到目前為止,堆棧幀的前一部分�,是由caller構建的�����;而在此之后�,堆棧幀的其他部分是由callee來構建。
EBP指針入棧
在foo函數中�����,首先將EBP寄存器的值壓入堆棧�����。因為此時EBP寄存器的值還是用于main函數的�,用來訪問main函數的參數和局部變量的�����,因此需要將它暫存在堆棧中�����,在foo函數退出時恢復�。同時,給EBP賦于新值�。
1)將EBP壓入堆棧
2)把ESP的值賦給EBP
圖4
這樣一來,我們很容易發現當前EBP寄存器指向的堆棧地址就是EBP先前值的地址�,你還會發現發現�,EBP+4的地址就是函數返回值的地址�,EBP+8就是函數的第一個參數的地址(第一個參數地址并不一定是EBP+8,后文中將講到)�����。因此�����,通過EBP很容易查找函數是被誰調用的或者訪問函數的參數(或局部變量)。
為局部變量分配地址
接著�,foo函數將為局部變量分配地址�。程序并不是將局部變量一個個壓入堆棧的���,而是將ESP減去某個值,直接為所有的局部變量分配空間�,比如在foo函數中有ESP=ESP-0x00E4,如圖所示:
圖5
奇怪的是�,在debug模式下�,編譯器為局部變量分配的空間遠遠大于實際所需���,而且局部變量之間的地址不是連續的(據我觀察,總是間隔8個字節)如下圖所示:
圖6
我還不知道編譯器為什么這么設計�����,或許是為了在堆棧中插入調試數據���,不過這無礙我們今天的討論。
通用寄存器入棧
最后�����,將函數中使用到的通用寄存器入棧�,暫存起來,以便函數結束時恢復�。在foo函數中用到的通用寄存器是EBX,ESI�,EDI,將它們壓入堆棧�����,如圖所示:
圖7
至此�,一個完整的堆棧幀建立起來了。
堆棧特性分析
上一節中�,一個完整的堆棧幀已經建立起來�,現在函數可以開始正式執行代碼了。本節我們對堆棧的特性進行分析�,有助于了解函數與堆棧幀的依賴關系���。
1)一個完整的堆棧幀建立起來后,在函數執行的整個生命周期中�����,它的結構和大小都是保持不變的;不論函數在什么時候被誰調用�,它對應的堆棧幀的結構也是一定的�。
2)在A函數中調用B函數�,對應的,是在A函數對應的堆棧幀“下方”建立B函數的堆棧幀�。例如在foo函數中調用foo1函數�����,foo1函數的堆棧幀將在foo函數的堆棧幀下方建立�。如下圖所示:
圖8
3)函數用EBP寄存器來訪問參數和局部變量���。我們知道���,參數的地址總是比EBP的值高�����,而局部變量的地址總是比EBP的值低�。而在特定的堆棧幀中�,每個參數或局部變量相對于EBP的地址偏移總是固定的�。因此函數對參數和局部變量的的訪問是通過EBP加上某個偏移量來訪問的�����。比如���,在foo函數中,EBP+8為第一個參數的地址���,EBP-8為第一個局部變量的地址。
4)如果仔細思考�,我們很容易發現EBP寄存器還有一個非常重要的特性,請看下圖中:
圖9
我們發現���,EBP寄存器總是指向先前的EBP,而先前的EBP又指向先前的先前的EBP���,這樣就在堆棧中形成了一個鏈表!這個特性有什么用呢�����,我們知道EBP+4地址存儲了函數的返回地址���,通過該地址我們可以知道當前函數的上一級函數(通過在符號文件中查找距該函數返回地址最近的函數地址���,該函數即當前函數的上一級函數)�,以此類推�����,我們就可以知道當前線程整個的函數調用順序�。事實上,調試器正是這么做的�,這也就是為什么調試時我們查看函數調用順序時總是說“查看堆棧”了���。
返回值是如何傳遞的
堆棧幀建立起后���,函數的代碼真正地開始執行���,它會操作堆棧中的參數,操作堆棧中的局部變量�����,甚至在堆(Heap)上創建對象�����,balabala….�,終于函數完成了它的工作���,有些函數需要將結果返回給它的上一層函數���,這是怎么做的呢���?
首先,caller和callee在這個問題上要有一個“約定”�,由于caller是不知道callee內部是如何執行的,因此caller需要從callee的函數聲明就可以知道應該從什么地方取得返回值�����。同樣的�����,callee不能隨便把返回值放在某個寄存器或者內存中而指望Caller能夠正確地獲得的���,它應該根據函數的聲明�����,按照“約定”把返回值放在正確的”地方“�。下面我們來講解這個“約定”: 1)首先�,如果返回值等于4字節���,函數將把返回值賦予EAX寄存器�,通過EAX寄存器返回���。例如返回值是字節、字���、雙字�����、布爾型�、指針等類型�����,都通過EAX寄存器返回。
2)如果返回值等于8字節�,函數將把返回值賦予EAX和EDX寄存器���,通過EAX和EDX寄存器返回�����,EDX存儲高位4字節�,EAX存儲低位4字節。例如返回值類型為__int64或者8字節的結構體通過EAX和EDX返回�。
3) 如果返回值為double或float型���,函數將把返回值賦予浮點寄存器�,通過浮點寄存器返回。
4)如果返回值是一個大于8字節的數據�,將如何傳遞返回值呢?這是一個比較麻煩的問題�,我們將詳細講解:
我們修改foo函數的定義如下并將它的代碼做適當的修改:
view sourceprint?1 | MyStruct foo(int a, int b) |
MyStruct定義為:
view sourceprint?
這時�����,在調用foo函數時參數的入棧過程會有所不同,如下圖所示:
圖10
caller會在壓入最左邊的參數后�,再壓入一個指針�,我們姑且叫它ReturnValuePointer,ReturnValuePointer指向當前ESP值下方很遠的一個地址���,這個地址將用來存儲函數的返回值�。函數返回時�����,把返回值拷貝到ReturnValuePointer指向的地址中�����,然后把ReturnValuePointer的地址賦予EAX寄存器�����。函數返回后���,caller通過EAX寄存器找到ReturnValuePointer�,然后通過ReturnValuePointer找到返回值�����。
你或許會有這樣的疑問���,函數返回后�����,對應的堆棧幀已經被銷毀�,而ReturnValuePointer是在該堆棧幀中�����,不也應該被銷毀了嗎�����?對的�����,堆棧幀是被銷毀了�,但是程序不會自動清理其中的值���,因此ReturnValuePointer中的值還是有效的。
但是�,這里還有一個問題我沒有答案�����。ReturnValuePointer指向的地址是由caller決定的�����,而才caller并不知道callee對應的堆棧幀會有多大���,如果callee對應的堆棧幀很大那么就可能會和返回值的地址重合�����。我還不知道VS編譯器通過什么策略來避免這個問題���。
堆棧幀的銷毀
當函數將返回值賦予某些寄存器或者拷貝到堆棧的某個地方后�,函數開始清理堆棧幀�����,準備退出�����。堆棧幀的清理順序和堆棧建立的順序剛好相反:(堆棧幀的銷毀過程就不一一畫圖說明了)
1)如果有對象存儲在堆棧幀中,對象的析構函數會被函數調用。
2)從堆棧中彈出先前的通用寄存器的值�����,恢復通用寄存器���。
3)ESP加上某個值�,回收局部變量的地址空間(加上的值和堆棧幀建立時分配給局部變量的地址大小相同)���。
4)從堆棧中彈出先前的EBP寄存器的值�,恢復EBP寄存器。
5)從堆棧中彈出函數的返回地址�,準備跳轉到函數的返回地址處繼續執行�。
6)ESP加上某個值�����,回收所有的參數地址�。
前面1-5條都是由callee完成的���。而第6條���,參數地址的回收���,是由caller或者callee完成是由函數使用的調用約定(calling convention )來決定的���。下面的小節我們就來講解函數的調用約定�����。
函數的調用約定(calling convention)
函數的調用約定(calling convention)指的是進入函數時�����,函數的參數是以什么順序壓入堆棧的,函數退出時�����,又是由誰(Caller還是Callee)來清理堆棧中的參數。有2個辦法可以指定函數使用的調用約定:
1)在函數定義時加上修飾符來指定�,如
view sourceprint?1 | void __thiscall mymethod(); |
2)在VS工程設置中為工程中定義的所有的函數指定默認的調用約定:在工程的主菜單打開Project|Project Property|Configuration Properties|C/C++|Advanced|Calling Convention���,選擇調用約定(注意:這種做法對類成員函數無效)。
常用的調用約定有以下3種:
1)__cdecl���。這是VC編譯器默認的調用約定�����。其規則是:參數從右向左壓入堆棧�����,函數退出時由caller清理堆棧中的參數。這種調用約定的特點是支持可變數量的參數�����,比如printf方法���。由于callee不知道caller到底將多少參數壓入堆棧���,因此callee就沒有辦法自己清理堆棧,所以只有函數退出之后���,由caller清理堆棧,因為caller總是知道自己傳入了多少參數�。
2)__stdcall。所有的Windows API都使用__stdcall�。其規則是:參數從右向左壓入堆棧�����,函數退出時由callee自己清理堆棧中的參數�。由于參數是由callee自己清理的�,所以__stdcall不支持可變數量的參數���。
3) __thiscall�。類成員函數默認使用的調用約定�。其規則是:參數從右向左壓入堆棧�����,x86構架下this指針通過ECX寄存器傳遞,函數退出時由callee清理堆棧中的參數���,x86構架下this指針通過ECX寄存器傳遞。同樣不支持可變數量的參數�����。如果顯式地把類成員函數聲明為使用__cdecl或者__stdcall���,那么�,將采用__cdecl或者__stdcall的規則來壓棧和出棧�����,而this指針將作為函數的第一個參數最后壓入堆棧���,而不是使用ECX寄存器來傳遞了�����。
反編譯代碼的跟蹤(不熟悉匯編可跳過)
以下代碼為和foo函數對應的堆棧幀建立相關的代碼的反編譯代碼���,我將逐行給出注釋���,可對照前文中對堆棧的描述:
main函數中 int result=foo(3,4); 的反匯編:
view sourceprint?3 | 008A1482 call foo (8A10F5h) |
5 | 008A148A mov dWord ptr [result],eax |
下面是foo函數代碼正式執行前和執行后的反匯編代碼
view sourceprint?07 | 008A13FC lea edi,[ebp-0E4h] |
09 | 008A1407 mov eax,0CCCCCCCCh |
10 | 008A140C rep stos dword ptr es:[edi] |
18 | 008A1441 call @ILT+330(__RTC_CheckEsp) (8A114Fh) |
