图解函数调用过程

最新推荐文章于 2025-07-07 09:41:07 发布
最新推荐文章于 2025-07-07 09:41:07 发布
阅读量3.3k 收藏 13
点赞数 3
CC 4.0 BY-SA版权
分类专栏: C/C++ 文章标签: c++
原文链接:https://mp.weixin.qq.com/s/Od9X-qnQ3WWyZiLIS4uPFg
本文围绕C++函数调用栈展开,介绍了解函数调用过程的意义,如启发程序开发、排查疑难问题、了解栈溢出危害等。通过程序样例提出函数参数存放、调用发生、返回值返回等问题,结合少量Intel汇编详细图解函数调用栈的过程,还提及栈溢出漏洞可能被黑客利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程:

  1. 对于程序运行机制中的数据结构和实现的了解,对自己开发程序有着启发作用

  2. 碰到一些疑难杂症的时候,比如函数栈溢出了或者函数栈破坏了,如何从蛛丝马迹中寻找问题的原因。

  3. 了解栈溢出可能带来的危害,黑客也许会利用栈溢出的漏洞进行攻击。

这篇博文我们一起来对函数调用的过程进行探究。

程序样例

下面是这篇博文要用到的一个样例程序:程序在main中调用了FunAdd函数。本篇就先来研究一下:

  1. 函数的参数存放在哪里?

  2. 函数调用是如何发生的?

  3. 函数的返回值是如何返回的?

  4. FuncAdd调用完成后,程序为什么知道继续顺序执行main中的代码的?

#include <stdio.h>
#include <iostream>

int FunAdd(int iPara1, int iPara2)
{
  int iAdd = 7;
  int iResult = iPara1 + iPara2 + iAdd;
  return iResult;
}

int main()
{
  int iVal1 = 5;
  int iVal2 = 6;
  int iRes = FunAdd(iVal1, iVal2);
  printf("iRes: %d\n", iRes);
  return 0;
}

 

图解函数调用栈

函数调用栈的基本知识:

  1. 每个线程都有一个自己的函数调用栈

  2. 栈也是程序申请的一段内存,随着栈的使用而增长。而一般编译的时候也可以指定编译选项设置栈最大值。如果递归调用层数太深,会导致栈溢出。

  3. 在系统中程序执行的时候栈都是从高地址往低地址增长的

  4. 函数参数压栈,一般从右向左压栈(比如__cdecl函数调用约定)

  5. EIP寄存器存储当前执行指令的内存位置

  6. EBP寄存器表明当前栈帧的栈底

  7. ESP寄存器表明当前栈帧的栈顶

后面将进入详细的函数调用过程讲解,这里会涉及到少量的Intel汇编。
第一步 这一行源码int iRes = FunAdd(iVal1, iVal2);,对应的汇编如下:

//iVal2存储在当前栈ebp-4的位置
//iVal2的值读取到eax,并且压栈
mov     eax,dword ptr [ebp-4]
push    eax

//iVal1存储在当前栈ebp-8的位置
//iVal1的值读取到eax,并且压栈
mov     ecx,dword ptr [ebp-8]
push    ecx

//调用call指令调用函数FunAdd
call    StackResearch!FunAdd (000f1000)

//后面进行解释
add     esp,8
mov     dword ptr [ebp-0Ch],eax

根据上面的汇编解释,将iVal2和iVal1的值作为函数参数依次压栈(参数从右向左),而call指令除了调用FunAdd还有一个隐含的操作,就是将下一条指令的地址压栈(这条指令地址就是add esp,8的地址, 一般也称为Return Address), 这个用于FunAdd函数返回的时候知道接着应该执行哪条指令。
此时的栈帧应该如下图所示:
Image

第二步 开始执行FunAdd,函数的汇编和解释如下:

push    ebp
mov     ebp,esp
sub     esp,8
mov     dword ptr [ebp-4],7
mov     eax,dword ptr [ebp+8]
add     eax,dword ptr [ebp+0Ch]
add     eax,dword ptr [ebp-4]
mov     dword ptr [ebp-8],eax
mov     eax,dword ptr [ebp-8]
mov     esp,ebp
pop     ebp
ret

这里我们将汇编指令拆分进行讲解,便于理解。
步骤2.1 记录原先的栈底EBP (一般称作Child EBP), 即将main的EBP压栈。

push    ebp

步骤2.2 修改栈底,将当前ESP设置为EBP,切换到当前函数FunAdd的栈帧。

mov     ebp,esp

步骤2.3 将ESP减去8,即栈增长8个字节(记住栈是从高地址往低地址增长的)这个操作就等于在栈上申请了8个字节的空间,为什么是8个字节呢?这8个字节正是用于存储iAdd 和iResult(int默认四个字节)。

sub     esp,8

此时的栈帧如图:
Image
步骤2.4 EBP-4地址则存放着iAdd,这个表明将iAdd初始化为7

mov     dword ptr [ebp-4],7

步骤2.5 EBP+8地址存储的值对应着iPara1EBP+0Ch地址存储的值对应着iPara2EBP-4地址则存放着iAdd,通过EAX寄存器,对三个值进行相加(iPara1 + iPara2 + iAdd)并且储存在EAX寄存器。

mov     eax,dword ptr [ebp+8]
add     eax,dword ptr [ebp+0Ch]
add     eax,dword ptr [ebp-4]

步骤2.6 EBP-8地址则存放着iResult,将步骤2.5中求和的结果从EAX中读取存放到iResult

mov     dword ptr [ebp-8],eax

步骤2.7 怎么和步骤2.6反过来了一次? 这是因为EAX寄存器用来存储返回值,即将iResult的值存入EAX寄存器。(本人为了将整个过程比较好的呈现,关闭了优化选项)

mov     eax,dword ptr [ebp-8]

步骤2.8 返回值准备好了,现在准备修改栈帧了。还记得在步骤2.1中将Child EBP的值(即main函数的EBP)保存在当前栈帧FunAdd的栈底不?此时将ESP指向栈底,然后执行pop ebp恢复原先的main函数栈帧。

mov     esp,ebp
pop     ebp

步骤2.9 此时的ESP指向的值正是在第一步中保存的Return Address,即FunAdd调用后的下一条指令。ret指令将ESP指向的值存储到EIP,并且暗含的将ESP+4,将栈顶缩小四个字节。
此时读者想一想,如果函数存在栈溢出的漏洞,黑客是否可以覆盖Return Address为恶意代码的执行地址呢?这样就会跳转到恶意代码的执行地址。

ret

此时FunAdd函数调用完毕,函数栈帧如下图所示:
Image

但还有些事情没有完成:栈上还存在着调用FunAdd入栈的两个参数,返回值还没有获取。

第三步 还记得第一步中还有两个指令没有讲解吗?

add     esp,8
mov     dword ptr [ebp-0Ch],eax

首先调用add esp, 8即将栈顶去除八个字节,而这8个字节正是用来存储FunAdd入栈参数的。因为本人编译的时候函数约定默认采用的__cdecl, 所以由调用函数main来清理入栈的函数参数。
EBP-0Ch地址存储的是iRes,从第二步中可知,将返回结果存储在EAXmov dword ptr [ebp-0Ch],eax将返回结果存储到iRes中。

Linux QoS实现框架:函数调用流程图
ARM-Linux
02-17 1084
 分为入口处理和出口处理两部分,具体实现流程如下图: 如果需要高清PDF文档,请联系本人。
自动生成函数调用流程图
01-06
免费软件,它能帮您生成函数地图,分析github或者其它git/subversion版本库中的代码,还有版本库内查找等多种帮您理解源代码的功能。
用Doxygen+Graphviz生成函数调用流程图
畅图科技
10-24 5451
用Doxygen+Graphviz生成函数调用流程图 上面这张图是用Doxygen+Graphviz从netcat的源代码生成的函数调用关系图。这种图有助于阅读源代码。 还可以生成class(或者struct)之间的关系图,如下所示: 现在介绍如何使用Doxygen和Graphviz生成这种图: 1. 下载安装Doxygen和Graphviz。直接Google就可以找
图解函数调用过程(函数帧)
2302_80221042的博客
07-07 459
正在被执行push x指令:先将esp -"1"(1代表的不是数字1,而是一个最小单元),然后把x的值复制到esp指向的内存块中。pop x 指令:先将esp指向的内存块的内容赋值给x,然后esp+"1"。
函数调用过程解析图
Maniac_wp的博客
07-25 760
函数调用流程
qq_51162456的博客
10-01 5340
函数调用模型1. 函数调用流程函数调用流程分析函数参数调用代码分析自右向左入顺序的优点2. 调用惯例函数参数的传递顺序和方式的维护方式调用管理表3. 函数变量传递分析分析图 1. 函数调用流程        (stack)是现代计算机程序里最为重要的概念之一,几乎每一个程序都使用了,没有就没有函数,没有局部变量,也就没有我们如今能见到的所有计算机的语言。在解释为什么如此重要之前,我们先了解一下传统的的定义:       &n
C语言函数调用过程
H_Strong的博客
04-22 6927
目录 目录 C语言的函数调用过程 反汇编代码 main()函数的创建 Add()函数的调用过程 main()函数的销毁 C语言的函数调用过程 先上一段代码 #include&lt;stdio.h&gt; int Add(int x, int y) { int z = 0; z = x + y; return z; } #include &lt;std...
函数调用过程 图解
qq_39380590的博客
11-13 1033
函数的调用过程的常用指令 1、add:加法指令,第一个是目标操作数,第二个是源操作数,格式为:目标操作数 = 目标操作数 + 源操作数; 2、call:调用函数,一般函数的参数放在寄存器中; 3、ret:跳转会调用函数的地方。对应于call,返回到对应的call调用的下一条指令,若有返回值,则放入eax中; 4、push:把一个32位的操作数压入堆中,这个操作在32位机中会使得e
函数调用过程中函数详解
s11show_163的博客
01-21 714
当进程被加载到内存时,会被分成很多段 代码段:保存程序文本,指令指针EIP就是指向代码段,可读可执行不可写,如果发生写操作则会提示segmentation fault 数据段:保存初始化的全局变量和静态变量,可读可写不可执行 BSS:未初始化的全局变量和静态变量 堆(Heap):动态分配内存,向地址增大的方向增长,可读可写可执行 (Stack):存放局部变量,函数参数,当前状态,函数调用信息等,向地址减小的方向增长,可读可写可执行 环境/参数段(environment/argumentssection).
函数调用过程(带图详解)
cherishinging的博客
04-18 1万+
函数调用我们大家都很熟悉,我们都知道函数调用是发生在上的。首先,我们来了解一下程序对内存使用的分区情况: 区域 作用 区(stack) 由编译器自动分配和释放,存放函数的参数值,局部变量的值等。操作方式类似与数据结构中的 堆区(heap) 一般由程序员分配和释放,若程序员不释放,程序结束时可能由操作系统回收。与数据结构中的堆是两码事,分配方式类似于链表 静态区(sta
图解递归调用过程(Python)
weixin_39074559的博客
03-07 1173
通过以下3个例子进行解释,代码和图解如下: def test1(n): print("level %d" % n) if n&lt;4 : test1(n+1) print("level %d" % n) def test2(n): print("level %d" % n) a = [1,2] for key in a: ...
C语言函数调用过程图解深入剖析
我的主页
12-01 5982
局部变量的创建过程、为啥局部变量不初始化就输出类似于烫烫烫这样的乱码,以及局部变量存放在哪些地方。函数帧创建和销毁过程
函数调用过程解析图(函数)
静陌慕春
08-02 1609
函数调用过程:为函数开辟空间,用于本次函数的调用中临时变量的保存、现场保护。 我们最熟悉的莫过于程序入口函数main函数,main函数是在__tmainCRTStartup中调用;而__tmainCRTStartup函数是在mainCRTStartup中调用。调用过程中产生的空间称之为函数帧。 帧维护需要esp和ebp寄存器: esp寄存器存放指向函数顶的指针;
用VScode绘制函数调用流程图
热门推荐
sanqima的专栏
05-28 2万+
C++编程中有时候需要画出多个class类之间的调用关系,可以使用Visio画UML类图来实现,也可以使用VScode的函数头+箭头来实现。这里介绍使用VScode里的函数头+箭头来绘制调用流程图。
C语言调用函数流程图怎么画,【C语言】求教这个流程图怎么画啊
weixin_34784025的博客
05-21 5084
该楼层疑似违规已被系统折叠隐藏此楼查看此楼例如输入当前时间2006年1220日19时17分59秒,计算后输出时间是2006年1220日19时18分00秒。>>程序要求:>>程序应该可以运行:通过控制台输入数据,输出数据通过printf给出;>>程序结构明了、逻辑清晰;>>请考虑闰年、月份(大小)等逻辑;>>程序功能完整;******...
函数调用过程()的剖析和图解
nullcanon的博客
08-12 810
我们通过一段简单的c语言程序 ,来简要的分析一下函数调用的详细情况: #include int Add(int x,int y) { int z = 0; z = x + y; return z; } int main() { int a = 10; int b = 20; int ret = Add(a,b); return 0;
调用函数的流程图应该怎么画_来这里学会游戏原画画人体线稿,应该怎么画?...
weixin_39587029的博客
11-28 515
在美术学习中,线稿训练是不可或缺的一个重要环节。无论是插画、漫画、原画等,线稿始终保持着主导地位,线稿是最基础的作画,干净的线稿会让后期的上色更顺利。好看的线是中间粗,两头细,且平滑。难看的线是没有粗细渐变,且歪歪扭扭看的连接前后穿插,外形顺滑连接是无法分辨前后穿插,且边线混乱单体训练可以多画不同角度的,可以买一些素体手办来参考。A:人体是对称的,最重要就是从头到躯干的中心线要先定一下。...
JAVA调用函数的流程图_有什么工具可以生成函数调用流程图?
weixin_33737110的博客
02-24 1007
如果问是Java的话大体来讲,如果要静态callgraph,你只需要读入程序,解析其中的invoke指令即可。很多静态工具有提供这样的功能,譬如前面说的doxygen等简单的、或者soot等更加sophisticated的静态工具。如果是C或者C++程序的话,LLVM opt也提供这样的工具。但是对于Java来说静态的call graph是非常不准确的。因为dynamic class loadin...
linux 物理网卡接收arp请求,函数调用过程
最新发布
07-08
<think>我们正在处理一个关于Linux网络协议中ARP请求处理流程的问题。用户希望了解物理网卡接收ARP请求时的函数调用过程。我们将结合Linux内核网络子系统的相关知识来回答。 根据之前的引用和Linux网络协议的实现,我们可以梳理出以下流程: 1. 物理网卡接收到数据帧(包括ARP请求)后,通过DMA将数据包传送到内核的内存中(环形缓冲区)。 2. 网卡驱动产生一个软中断(NET_RX_SOFTIRQ),通知内核有新的数据包到达。 3. 软中断处理函数`net_rx_action`会调用网卡驱动注册的`napi_poll`方法,进而调用到`netif_receive_skb`函数。 4. `netif_receive_skb`函数将数据包传递给上层协议处理。对于ARP数据包,会调用到`arp_rcv`函数。 现在,我们详细展开这个流程: ### 物理网卡接收ARP请求的函数调用流程 1. **网卡驱动接收数据包**: 当物理网卡接收到一个数据帧时,会通过中断或轮询方式通知内核。现代网卡通常采用NAPI(混合中断和轮询)机制。数据包被DMA到内核的接收环形缓冲区(ring buffer)中,然后网卡驱动会分配一个`sk_buff`(简称skb)结构来存放数据包,初始化skb的相关字段(如指向网络设备的指针`dev`)。 2. **软中断处理**: 网卡驱动会触发一个软中断(NET_RX_SOFTIRQ),该软中断的处理函数是`net_rx_action`。在`net_rx_action`中,会调用网卡驱动注册的NAPI的poll方法(例如`e1000_poll`),该方法会从环形缓冲区中取出数据包,调用`netif_receive_skb`函数将数据包上传到网络协议3. **数据包传递到协议层**: `netif_receive_skb`函数会根据数据包的协议类型(通过`skb->protocol`字段,对于ARP包,该字段为`ETH_P_ARP`)将数据包传递给相应的协议处理函数。对于ARP包,会调用`arp_rcv`函数。 4. **ARP协议处理**: `arp_rcv`函数是ARP协议的主要入口点。在该函数中,会进行一些基本检查(如数据包长度、ARP硬件类型等),然后根据ARP操作码(opcode)进行不同的处理。如果是ARP请求(ARPOP_REQUEST),则会调用`arp_process`函数处理请求。 5. **处理ARP请求**: 在`arp_process`函数中,会检查ARP请求是否针对本机(即目标IP地址是否为本机配置的某个IP地址)。如果是,则会构建一个ARP应答(ARPOP_REPLY),通过ARP协议发送出去。构建应答包时,会使用请求包中的源IP和源MAC作为目的地址,本机的IP和MAC作为源地址。 6. **发送ARP应答**: 构建好ARP应答后,会调用`arp_send`函数,该函数会创建一个新的skb,填充ARP应答信息,然后通过`dev_queue_xmit`函数将应答包发送出去。发送流程会经过网络设备的队列规则(qdisc),最终调用网卡驱动的`hard_start_xmit`方法将数据包发送到物理网卡。 ### 关键函数调用链 接收路径: ``` 物理网卡接收中断或轮询 -> 驱动将数据包放入环形缓冲区 -> 触发软中断NET_RX_SOFTIRQ -> net_rx_action -> 网卡驱动的poll函数(如e1000_poll)-> netif_receive_skb -> deliver_skb(根据协议类型分发)-> arp_rcv(对于ARP包)-> arp_process(处理请求)-> 如果是本机请求,则构建ARP应答 ``` 发送ARP应答路径: ``` arp_send -> arp_create -> dev_queue_xmit -> __dev_queue_xmit -> 选择qdisc -> sch_direct_xmit -> dev_hard_start_xmit -> 网卡驱动的hard_start_xmit方法 ``` 注意:在接收ARP请求发送应答的过程中,发送应答的流程是一个独立的发送过程,与接收流程是分开的。 ### 引用说明 在Linux内核中,物理网卡接收数据包后,通过软中断处理将数据包传递给协议,其中ARP包由`arp_rcv`函数处理[^3][^4]。当需要发送ARP应答时,会通过`dev_queue_xmit`函数进入发送队列,最终由网卡驱动发送出去[^2][^3]。 §§相关问题§§ 1. Linux内核中如何处理非ARP类型的数据包(如IP数据包)? 2. ARP协议处理过程中有哪些常见的优化方法? 3. 在虚拟化环境中(如使用macvlan),物理网卡处理ARP请求有什么不同?</think>### Linux物理网卡处理ARP请求的函数调用流程 当物理网卡接收到ARP请求时,Linux内核的处理流程涉及多个网络子系统层级。以下是关键函数调用序列(基于Linux 5.x内核): #### 1. **硬件中断处理层** - **物理网卡驱动**:当网卡收到ARP帧时,触发硬件中断 - 驱动中断处理函数(如`e1000_intr`)调用`napi_schedule()` - 激活软中断`NET_RX_SOFTIRQ` #### 2. **软中断处理层** - `net_rx_action()`:软中断处理入口 - 调用网卡驱动的NAPI poll方法(如`e1000_clean`) - 从DMA环形缓冲区提取数据包,构建`sk_buff`结构 - 调用`netif_receive_skb()`进入协议 #### 3. **链路层处理** - `__netif_receive_skb_core()`:核心分发函数 - 检查帧类型:`skb->protocol == ETH_P_ARP`(0x0806) - 调用ARP处理函数:`deliver_skb(skb, arp_rcv, ...)` #### 4. **ARP协议层** - **`arp_rcv()`**:ARP包主入口 - 校验包完整性(长度、硬件类型等) - 调用`arp_process()`进行核心处理 - **`arp_process()`**:ARP请求处理核心 - 检查目标IP是否为本机IP(`arp_is_target()`) - 若是本机请求: - 更新ARP缓存(`__neigh_update()`) - 构建ARP应答包(`arp_send()`) #### 5. **应答包发送** - `arp_send()`:创建ARP响应 - 调用`arp_create()`构建应答帧 - 通过`dev_queue_xmit()`发送 - **发送路径**: - `dev_queue_xmit()` - `__dev_queue_xmit()` - 网卡驱动的`hard_start_xmit()`回调(如`e1000_xmit_frame`) #### 关键数据结构 - **`struct sk_buff`**:承载网络包的核心结构 - **`struct net_device`**:代表物理网卡的对象 - **`struct arphdr`**:ARP包头结构(包含操作码、IP/MAC地址) > 流程图解: > ``` > 物理网卡 → 硬件中断 → NAPI调度 → net_rx_action → netif_receive_skb > → arp_rcv → arp_process → arp_send → dev_queue_xmit → 网卡驱动发送 > ``` ### 特殊场景说明 1. **多网卡环境**:`arp_process()`会检查目标IP是否属于接收网卡的IP子网 2. **ARP代理**:若开启`/proc/sys/net/ipv4/conf/*/proxy_arp`,会触发`arp_fwd_proxy()`处理 3. **虚拟化环境**:当使用macvlan时,物理网卡收到ARP请求后,会先转发给虚拟网卡处理[^2] ### 性能优化点 - NAPI机制减少中断风暴 - ARP缓存(`struct neigh_table`)加速重复请求处理 - 应答包发送绕过QoS(直接调用`dev_hard_start_xmit`) > 引用说明:物理网卡处理ARP的核心在`arp_rcv/arp_process`,而发送路径最终通过网卡驱动的`hard_start_xmit`回调完成[^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值