獻(xiàn)給匯編初學(xué)者－函數(shù)調(diào)用堆棧變化分析

2019-11-17 04:37:46

字體：大中小

供稿：網(wǎng)友

標(biāo) 題: 獻(xiàn)給匯編初學(xué)者－函數(shù)調(diào)用堆棧變化分析作者: 墮落天才時間: 2007-01-19,19:20鏈接: http://bbs.pediy.com/showthread.php?threadid=38234跟一個朋友談堆棧的時候就寫下了這段文字，順便發(fā)到這里給需要的看看吧匯編初學(xué)者比較頭痛的一個問題////////////////////////////////////////////////////////////////////比如我們有這樣一個C函數(shù)#include<stdio.h>long test(int a,int b){ a = a + 1; b = b + 100; return a + b;}void main(){ Word,:VARARG ;這個就是聲明一下我們要用的函數(shù)頭，到時候匯編程序會自動到msvcrt.lib里面找的了 ;:VARARG 表后面的參數(shù)不確定因為C就是這樣的printf(const char *, ...); ;這樣的函數(shù)要注重不是被調(diào)用函數(shù)負(fù)責(zé)清棧因為它本身不知道有多少個參數(shù) ;而是有調(diào)用者負(fù)責(zé)清棧下面會具體說明.dataszTextFmt BYTE '%d',0 ;這個是用來類型轉(zhuǎn)換的，跟C的一樣,字符用字節(jié)類型a dword 1000 ;假設(shè)b dword 2000 ;處理數(shù)值都用雙字沒有int 跟long 的區(qū)別;/////////////////////////////////////////////////////////////////////////////////////////.code_test proc A:DWORD,B:DWORD push ebp mov ebp,esp mov eax,dword ptr ss:[ebp+8] add eax,1 mov edx,dword ptr ss:[ebp+0Ch] add edx,100 add eax,edx pop ebp retn 8_test endp_main proc push dword ptr ds:b ;反匯編我們看到的b就不是b了而是一個[*****]數(shù)字 dword ptr 就是我們在ds(數(shù)據(jù)段)把[*****] ;開始的一個雙字長數(shù)值取出來 push dword ptr ds:a ;跟她對應(yīng)的還有 byte ptr ****就是取一個字節(jié)出來比如這樣 mov al,byte ptr ds:szTextFmt ;就把 % 取出來而不包括 d call _test push eax ;假設(shè)push eax的地址是××××× push offset szTextFmt call printf add esp,8 ret _main endpend _main;////////////////////////////////////////////////////////////// 下面介紹堆棧的變化首先要明白的是操作堆棧段 ss 只能用 esp或ebp寄存器其他的寄存器eax ebx edx等都不能夠用而 esp永遠(yuǎn)指向堆棧棧頂 ebp用來在堆棧段里面尋址push 指令是壓棧 ESP=ESP-4pop 指令是出棧 ESP=ESP+4我們假設(shè)main函數(shù)一開始堆棧定是 ESP=400push dword ptr ds:b ;ESP-4=396 ->里面的值就是 2000 就是b的數(shù)值push dword ptr ds:a ;ESP-4=392 ->里面的值就是 1000 就是a的數(shù)值call test ;ESP-4=388－>里面的數(shù)值是什么？這個太重要了就是我們用來找游戲函數(shù)的原理所在。里面的數(shù)值就是call test 指令下一條指令的地址－>即push eax的地址×××××到了test函數(shù)里面push ebp ;ESP-4=384->里面保存了當(dāng)前ebp的值而不是把ebp清零mov ebp,esp ;這里ESP＝384就沒變化了，但是 ebp=esp=384,為什么要這樣做呢因為我們要用ebp到堆棧里面找參數(shù)mov eax,dword ptr ss:[ebp+8] ;反匯編是這樣的想想為什么a就是[ebp+8]呢 ;我們往上看看堆棧里地址392處就保存著a的值這里ebp=384 加上8正好就是392了 ;這樣就把傳遞過來的1000拿了出來eax=1000add eax,1 ;相當(dāng)于 a+1了 eax=1001mov edx,dword ptr ss:[ebp+0Ch] ; 0Ch=12 一樣道理這里指向堆棧的地址是384+12=396 就是2000了 edx=2000add edx,100 ;相當(dāng)于 b+100 edx=2100add eax,edx ;eax=eax+edx＝1001＋2100＝3101 這里eax已經(jīng)保存了最終的結(jié)果了 ;因為win32匯編一般用eax返回結(jié)果所以假如最終結(jié)果不是在eax里面的話還要把它放到eax ;比如假設(shè)我的結(jié)果保存在變量nRet里面最后還是要這樣 mov eax,dword ptr nRetpop ebp ;ESP=384+4=388 而保存在棧頂384的值保存到 ebp中即恢復(fù)ebp原來的值 ;因為一開始我們就把ebp的值壓棧了，mov ebp,esp已經(jīng)改變了ebp的值，這里恢復(fù)就是保證了堆棧平衡retn 8 ;ESP+8->396 這里retn是由系統(tǒng)調(diào)用的我們不用管系統(tǒng)會自動把Eip指針指向原來的call的下一條指令 ;由于是系統(tǒng)自動恢復(fù)了call那里的壓棧所以真正返回到的時候ESP+4就是恢復(fù)了call壓棧的堆棧 ;到了這個時候 ESP=400 就是函數(shù)調(diào)用開始的堆棧，就是說函數(shù)調(diào)用前跟函數(shù)調(diào)用后的堆棧是一樣的 ;這就是堆棧平衡由于我們用stdcall上面retn 8就是被調(diào)用者負(fù)責(zé)恢復(fù)堆棧的意思了，函數(shù)test是被調(diào)用者，所以負(fù)責(zé)把堆棧加8,call 那里是系統(tǒng)自動恢復(fù)的push eax ;ESP-4=396->里面保存了eax的值3101 ;上面已經(jīng)看到了eax保存著返回值，我們要把它傳給printf也是通過堆棧傳遞 push offset szTextFmt ;ESP-4=392->里面保存了szTextFmt的地址也就是C里面的指針實際上沒有什么把字符串傳遞的，我們傳的都是地址 ;無論是在匯編或C 所以在匯編里沒有什么字符串類型用最多的就是DWORD。嘿嘿游戲里面?zhèn)鬟f參數(shù) 簡單多了call printf ;ESP-4=388->里面保存了下一條指令的地址add esp,8 ;ESP+8=400 恢復(fù)了調(diào)用printf前的堆棧狀態(tài) ;上面說了由于printf后面參數(shù)是:VARARG 這樣的類型是有調(diào)用者恢復(fù)堆棧的所以printf里面沒有retn 8之類的指令 ;這是由調(diào)用者負(fù)責(zé)清棧 main是調(diào)用者所以下面一句就是 add esp,8 把堆?；謴?fù)到調(diào)用printf之前 ;而call printf那里的壓棧是由系統(tǒng)做的恢復(fù)的工作也是系統(tǒng)完成我們不用理只是知道里面保存是返回地址就夠 ;了ret ;main 函數(shù)返回其他的事情是系統(tǒng)自動搞定我們不用理任務(wù)完成
進(jìn)入討論組討論。

上一篇：C# inline-asm / 嵌入x86匯編

下一篇：AT&T的匯編格式