獻給匯編初學者－函數調用堆棧變化分析

2019-11-17 04:37:46

字體：大中小

來源：轉載

供稿：網友

標題: 獻給匯編初學者－函數調用堆棧變化分析作者: 墮落天才時間: 2007-01-19,19:20鏈接: http://bbs.pediy.com/showthread.php?threadid=38234跟一個朋友談堆棧的時候就寫下了這段文字，順便發到這里給需要的看看吧匯編初學者比較頭痛的一個問題////////////////////////////////////////////////////////////////////比如我們有這樣一個C函數#include<stdio.h>long test(int a,int b){ a = a + 1; b = b + 100; return a + b;}void main(){ Word,:VARARG ;這個就是聲明一下我們要用的函數頭，到時候匯編程序會自動到msvcrt.lib里面找的了 ;:VARARG 表后面的參數不確定因為C就是這樣的printf(const char *, ...); ;這樣的函數要注重不是被調用函數負責清棧因為它本身不知道有多少個參數 ;而是有調用者負責清棧下面會具體說明.dataszTextFmt BYTE '%d',0 ;這個是用來類型轉換的，跟C的一樣,字符用字節類型a dword 1000 ;假設b dword 2000 ;處理數值都用雙字沒有int 跟long 的區別;/////////////////////////////////////////////////////////////////////////////////////////.code_test proc A:DWORD,B:DWORD push ebp mov ebp,esp mov eax,dword ptr ss:[ebp+8] add eax,1 mov edx,dword ptr ss:[ebp+0Ch] add edx,100 add eax,edx pop ebp retn 8_test endp_main proc push dword ptr ds:b ;反匯編我們看到的b就不是b了而是一個[*****]數字 dword ptr 就是我們在ds(數據段)把[*****] ;開始的一個雙字長數值取出來 push dword ptr ds:a ;跟她對應的還有 byte ptr ****就是取一個字節出來比如這樣 mov al,byte ptr ds:szTextFmt ;就把 % 取出來而不包括 d call _test push eax ;假設push eax的地址是××××× push offset szTextFmt call printf add esp,8 ret _main endpend _main;////////////////////////////////////////////////////////////// 下面介紹堆棧的變化首先要明白的是操作堆棧段 ss 只能用 esp或ebp寄存器其他的寄存器eax ebx edx等都不能夠用而 esp永遠指向堆棧棧頂 ebp用來在堆棧段里面尋址push 指令是壓棧 ESP=ESP-4pop 指令是出棧 ESP=ESP+4我們假設main函數一開始堆棧定是 ESP=400push dword ptr ds:b ;ESP-4=396 ->里面的值就是 2000 就是b的數值push dword ptr ds:a ;ESP-4=392 ->里面的值就是 1000 就是a的數值call test ;ESP-4=388－>里面的數值是什么？這個太重要了就是我們用來找游戲函數的原理所在。里面的數值就是call test 指令下一條指令的地址－>即push eax的地址×××××到了test函數里面push ebp ;ESP-4=384->里面保存了當前ebp的值而不是把ebp清零mov ebp,esp ;這里ESP＝384就沒變化了，但是 ebp=esp=384,為什么要這樣做呢因為我們要用ebp到堆棧里面找參數mov eax,dword ptr ss:[ebp+8] ;反匯編是這樣的想想為什么a就是[ebp+8]呢 ;我們往上看看堆棧里地址392處就保存著a的值這里ebp=384 加上8正好就是392了 ;這樣就把傳遞過來的1000拿了出來eax=1000add eax,1 ;相當于 a+1了 eax=1001mov edx,dword ptr ss:[ebp+0Ch] ; 0Ch=12 一樣道理這里指向堆棧的地址是384+12=396 就是2000了 edx=2000add edx,100 ;相當于 b+100 edx=2100add eax,edx ;eax=eax+edx＝1001＋2100＝3101 這里eax已經保存了最終的結果了 ;因為win32匯編一般用eax返回結果所以假如最終結果不是在eax里面的話還要把它放到eax ;比如假設我的結果保存在變量nRet里面最后還是要這樣 mov eax,dword ptr nRetpop ebp ;ESP=384+4=388 而保存在棧頂384的值保存到 ebp中即恢復ebp原來的值 ;因為一開始我們就把ebp的值壓棧了，mov ebp,esp已經改變了ebp的值，這里恢復就是保證了堆棧平衡retn 8 ;ESP+8->396 這里retn是由系統調用的我們不用管系統會自動把Eip指針指向原來的call的下一條指令 ;由于是系統自動恢復了call那里的壓棧所以真正返回到的時候ESP+4就是恢復了call壓棧的堆棧 ;到了這個時候 ESP=400 就是函數調用開始的堆棧，就是說函數調用前跟函數調用后的堆棧是一樣的 ;這就是堆棧平衡由于我們用stdcall上面retn 8就是被調用者負責恢復堆棧的意思了，函數test是被調用者，所以負責把堆棧加8,call 那里是系統自動恢復的push eax ;ESP-4=396->里面保存了eax的值3101 ;上面已經看到了eax保存著返回值，我們要把它傳給printf也是通過堆棧傳遞 push offset szTextFmt ;ESP-4=392->里面保存了szTextFmt的地址也就是C里面的指針實際上沒有什么把字符串傳遞的，我們傳的都是地址 ;無論是在匯編或C 所以在匯編里沒有什么字符串類型用最多的就是DWORD。嘿嘿游戲里面傳遞參數簡單多了call printf ;ESP-4=388->里面保存了下一條指令的地址add esp,8 ;ESP+8=400 恢復了調用printf前的堆棧狀態 ;上面說了由于printf后面參數是:VARARG 這樣的類型是有調用者恢復堆棧的所以printf里面沒有retn 8之類的指令 ;這是由調用者負責清棧 main是調用者所以下面一句就是 add esp,8 把堆?；謴偷秸{用printf之前 ;而call printf那里的壓棧是由系統做的恢復的工作也是系統完成我們不用理只是知道里面保存是返回地址就夠 ;了ret ;main 函數返回其他的事情是系統自動搞定我們不用理任務完成
進入討論組討論。

上一篇：C# inline-asm / 嵌入x86匯編

下一篇：AT&T的匯編格式