本文详细解释了函数调用过程中的栈结构变化,包括参数、返回地址及EBP寄存器的作用。通过分析函数调用栈,可以追踪到任意层级函数的地址。
[color=#345286] 参考文章:[url=http://liyiwen.iteye.com/blog/345525]http://liyiwen.iteye.com/blog/345525[/url][/color]
[color=#FF0000] 1. 一个函数调用动作可分解为:零到多个 PUSH 指令(用于参数入栈),一个 CALL 指令。CALL 指令内部其实还暗含了一个将返回地址(即 CALL 指令下一条指令的地址)压栈的动作。[/color]
[color=#FF0000] 2. 几乎任何本地编译器都会在每个函数体之前插入类似如下指令:PUSH EBP; MOV EBP ESP; 即,在程序执行到一个函数的真正函数体时,已有以下数据顺序入栈:参数,返回地址,EBP。[/color]
[color=#345286] 函数调用的返回地址,正是调用指令 Call 的下一个指令的地址。那么,有了返回地址,就可以得到 Call 指令的位置了。有 Call 指令的位置又能干什么呢?Call 指令就是一个跳转指令,它可以让 [b]IP(instruction point)[/b] 指向要跳转的指令的地址,从那里开始执行。对于函数调用来说,就是让 IP 指向被调用的函数的地址。Call 指令的操作数其实和被调用函数的地址有非常重要的关系。有了 Call 指令的操作数,就可以计算出被调用函数的地址。[/color]
[color=#345286] 但仅仅有这个还不够。比如,A 调用了 B,那么在 A 函数中肯定有一个 Call 指令,但这个 Call 指令中的操作数是和 B 函数地址相关的,与 A 的函数地址直接关系不大(至少在没有其它信息的情况下,不能计算出 A 的地址)。而我们要得到的却是 A 函数的地址。所以,得向上再找一层,找到调用 A 函数的地方,那个地方的 Call 指令里的操作数才和 A 函数地址有关。也就是说,Z 函数调用了 A 函数,A 函数调用了 B 函数。现在要得到 A 函数的地址,我们得在 Z 函数里找 Call 指令的操作数。这时候 EBP 就派上用场了。本地编译器在每个函数体之前插入的指令(PUSH EBP; MOV EBP ESP)构造了一个巧妙的结构,使得我们可以顺着函数调用栈一层一层向上,找到所有调用关系。[/color]
[color=#345286] 如何向上查找呢?我们看看函数调用时栈、EBP 的值的情况就知道了。假设现在函数在正 Z 函数内执行,那么此时栈和 EBP 的值可能是像下图这样的:[/color]
[img]http://dl.iteye.com/upload/attachment/589245/5a98f2c1-3f7c-383c-9c7e-162ca41a3cab.jpg[/img]
[color=#345286] 我们先不管现在 EBP 指向的内存(0x000F)中的内容 XXX 是什么(要不然会是鸡生蛋生鸡的问题),总之目前在栈中的着色块中的内容是属于函数 Z 的参数,Z 执行结束后应该返回的地址以及 Z 函数的局部变量值。[/color]
[color=#345286] 现在 Z 函数调用 A 函数,会先将传给 A 的参数压栈,然后将现在这个指令(就是"Call A")的下一个指令的地址压入栈中,以便 A 函数完后返回到 Z 中继续执行。然后进入 A 函数的内存空间,首先就是调用 PUSH EBP,也就是将 Z 的 EPB 的内容(地址 0x000F)压入栈中,然后再 MOV EBP ESP,让 EBP 有一个新的栈顶(此时栈顶中的内容不就是 Z 函数时 EBP 的内容么?),然后再将 A 函数的局部变量压入栈中,开始执行 A 函数的代码。这时,栈和 EBP 的情况就像如图所示了:[/color]
[img]http://dl.iteye.com/upload/attachment/589248/a80b14d1-a44a-30b5-b127-beedee2a63d3.jpg[/img]
[color=#345286] 这样就很清楚了,原来现在的 EBP 中的内容,正是上一级函数的 EBP 中的内容。而每一个函数的 EBP 指向的位置,向栈顶可以得到该函数的局部变量,向栈底可以得到函数的返回地址和参数。于是我们就可以根据这个结构层层向上,找到任何一层我们想找的函数 EBP,从而也就能得到相应的返回地址了。[/color]
[color=#FF0000] 1. 一个函数调用动作可分解为:零到多个 PUSH 指令(用于参数入栈),一个 CALL 指令。CALL 指令内部其实还暗含了一个将返回地址(即 CALL 指令下一条指令的地址)压栈的动作。[/color]
[color=#FF0000] 2. 几乎任何本地编译器都会在每个函数体之前插入类似如下指令:PUSH EBP; MOV EBP ESP; 即,在程序执行到一个函数的真正函数体时,已有以下数据顺序入栈:参数,返回地址,EBP。[/color]
[color=#345286] 函数调用的返回地址,正是调用指令 Call 的下一个指令的地址。那么,有了返回地址,就可以得到 Call 指令的位置了。有 Call 指令的位置又能干什么呢?Call 指令就是一个跳转指令,它可以让 [b]IP(instruction point)[/b] 指向要跳转的指令的地址,从那里开始执行。对于函数调用来说,就是让 IP 指向被调用的函数的地址。Call 指令的操作数其实和被调用函数的地址有非常重要的关系。有了 Call 指令的操作数,就可以计算出被调用函数的地址。[/color]
[color=#345286] 但仅仅有这个还不够。比如,A 调用了 B,那么在 A 函数中肯定有一个 Call 指令,但这个 Call 指令中的操作数是和 B 函数地址相关的,与 A 的函数地址直接关系不大(至少在没有其它信息的情况下,不能计算出 A 的地址)。而我们要得到的却是 A 函数的地址。所以,得向上再找一层,找到调用 A 函数的地方,那个地方的 Call 指令里的操作数才和 A 函数地址有关。也就是说,Z 函数调用了 A 函数,A 函数调用了 B 函数。现在要得到 A 函数的地址,我们得在 Z 函数里找 Call 指令的操作数。这时候 EBP 就派上用场了。本地编译器在每个函数体之前插入的指令(PUSH EBP; MOV EBP ESP)构造了一个巧妙的结构,使得我们可以顺着函数调用栈一层一层向上,找到所有调用关系。[/color]
[color=#345286] 如何向上查找呢?我们看看函数调用时栈、EBP 的值的情况就知道了。假设现在函数在正 Z 函数内执行,那么此时栈和 EBP 的值可能是像下图这样的:[/color]
[img]http://dl.iteye.com/upload/attachment/589245/5a98f2c1-3f7c-383c-9c7e-162ca41a3cab.jpg[/img]
[color=#345286] 我们先不管现在 EBP 指向的内存(0x000F)中的内容 XXX 是什么(要不然会是鸡生蛋生鸡的问题),总之目前在栈中的着色块中的内容是属于函数 Z 的参数,Z 执行结束后应该返回的地址以及 Z 函数的局部变量值。[/color]
[color=#345286] 现在 Z 函数调用 A 函数,会先将传给 A 的参数压栈,然后将现在这个指令(就是"Call A")的下一个指令的地址压入栈中,以便 A 函数完后返回到 Z 中继续执行。然后进入 A 函数的内存空间,首先就是调用 PUSH EBP,也就是将 Z 的 EPB 的内容(地址 0x000F)压入栈中,然后再 MOV EBP ESP,让 EBP 有一个新的栈顶(此时栈顶中的内容不就是 Z 函数时 EBP 的内容么?),然后再将 A 函数的局部变量压入栈中,开始执行 A 函数的代码。这时,栈和 EBP 的情况就像如图所示了:[/color]
[img]http://dl.iteye.com/upload/attachment/589248/a80b14d1-a44a-30b5-b127-beedee2a63d3.jpg[/img]
[color=#345286] 这样就很清楚了,原来现在的 EBP 中的内容,正是上一级函数的 EBP 中的内容。而每一个函数的 EBP 指向的位置,向栈顶可以得到该函数的局部变量,向栈底可以得到函数的返回地址和参数。于是我们就可以根据这个结构层层向上,找到任何一层我们想找的函数 EBP,从而也就能得到相应的返回地址了。[/color]
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
