或许习惯于用高级语言编程的大部分同学都会忽略了函数调用的具体过程是怎样的,如果想知道这个过程就不得不从汇编入手,但汇编语言又晦涩难懂。在这里谨以一个简单的例子说说我对函数调用过程的学习心得。
先上C语言写的代码:
1 #include<stdio.h> 2 3 4 unsigned int test(int a,int b) 5 { 6 int c,d; 7 c = a; 8 d = b; 9 return c; 10 } 11 12 int main() 13 { 14 unsigned int r; 15 16 r = test(1,2); 17 18 return 0; 19 }
很简单,就是在main()函数里调用test()函数。通过下面的命令编译:
gcc -g -o test test.c //加-g选项是为了反编译时可以混合显示源码和汇编代码
再通过以下命令将test反编译:
objdump -d -S test
截取其中反编译后的一个片段,如下:
1 08048394 <test>: 2 #include<stdio.h> 3 4 5 unsigned int test(int a,int b) 6 { 7 8048394: 55 push %ebp 8 8048395: 89 e5 mov %esp,%ebp 9 8048397: 83 ec 10 sub $0x10,%esp 10 int c,d; 11 c = a; 12 804839a: 8b 45 08 mov 0x8(%ebp),%eax 13 804839d: 89 45 fc mov %eax,-0x4(%ebp) 14 d = b; 15 80483a0: 8b 45 0c mov 0xc(%ebp),%eax 16 80483a3: 89 45 f8 mov %eax,-0x8(%ebp) 17 return c; 18 80483a6: 8b 45 fc mov -0x4(%ebp),%eax 19 } 20 80483a9: c9 leave 21 80483aa: c3 ret 22 23 080483ab <main>: 24 25 int main() 26 { 27 80483ab: 55 push %ebp 28 80483ac: 89 e5 mov %esp,%ebp 29 80483ae: 83 ec 18 sub $0x18,%esp 30 unsigned int r; 31 32 r = test(1,2); 33 80483b1: c7 44 24 04 02 00 00 movl $0x2,0x4(%esp) 34 80483b8: 00 35 80483b9: c7 04 24 01 00 00 00 movl $0x1,(%esp) 36 80483c0: e8 cf ff ff ff call 8048394 <test> 37 80483c5: 89 45 fc mov %eax,-0x4(%ebp) 38 39 return 0; 40 80483c8: b8 00 00 00 00 mov $0x0,%eax 41 } 42 80483cd: c9 leave 43 80483ce: c3 ret 44 80483cf: 90 nop
可以很清楚地看到每一条c语句对应的汇编代码。
从第27行开始看起,将ebp寄存器的值压入堆栈;第28行,把esp寄存器的值赋给ebp寄存器;第29行,esp的值自减0x18。假设执行完第29行后堆栈的情况如图1所示。
图1
第33行,将立即数0x2(test()的第2个实参)放到[esp+0x4]地址里;第35行,将立即数0x1(test()的第1个实参)放到[esp]地址里;第36行。调用test()函数,此时会将断点(返回地址)也压入堆栈,如图2所示。
图2
接着从第7行开始执行,将ebp压栈;第8行,将esp的值赋给ebp;第9行,esp自减0x10,如图3所示。
图3
第12行,将[ebp+0x8]地址里的内容赋给eax,由图3可以发现,[ebp+0x8]刚好是0x1这个数所在的地址,即把0x1赋给eax寄存器;第13行,把eax的值放到[ebp-4]这个地址里;第15行,将[ebp+0xc]地址里的内容赋给eax,[ebp+0xc]刚好是0x2这个数所在的地址,即把0x2赋给eax;第16行,把eax的值放到[ebp-8]这个地址里。此时,如图4所示。
图4
第18行,通过eax寄存器保存函数的返回值。
总的来说,就是函数调用时,先将参数从右到左依次压入堆栈,然后再将断点、ebp寄存器的值压栈,从这里也可以知道为什么值传递不能改变实参原来的值。
图5