GDB查看堆栈局部变量
“参数从右到左入栈”,“局部变量在栈上分配空间”,听的耳朵都起茧子了。最近做项目涉及C和汇编互相调用,写代码的时候才发现没真正弄明白。自己写了个最简单的函数,用gdb跟踪了调用过程,才多少懂了一点。
参考资料:
http://blog.csdn.net/liigo/archive/2006/12/23/1456938.aspx
http://blog.csdn.net/eno_rez/archive/2008/03/08/2158682.aspx
int add(int x, int y)
{
int a = 0;
a = x;
a += y;
return a;
}
int main(int argc, char *argv[])
{
int x, y, result;
x = 0x12;
y = 0x34;
result = add(x, y);
return 0;
}
编译:(Fedora6, gcc 4.1.2)
[test]$ gcc -g -Wall -o stack stack.c
反汇编:
这里的汇编的格式是AT&T汇编,它的格式和我们熟悉的汇编格式不太一样,尤其要注意源操作数和目的操作数的顺序是反过来的
[test]$ objdump -d stack > stack.dump
[test]$ cat stack.dump
......
08048354 :
8048354: 55 push %ebp ;保存调用者的帧指针
8048355: 89 e5 mov %esp,%ebp ;把当前的栈指针作为本函数的帧指针
8048357: 83 ec 10 sub $0x10,%esp ;调整栈指针,为局部变量保留空间
804835a: c7 45 fc 00 00 00 00 movl $0x0,0xfffffffc(%ebp) ;把a置0。ebp-4的位置是第一个局部变量
8048361: 8b 45 08 mov 0x8(%ebp),%eax ;把参数x保存到eax。ebp+8的位置是最后一个入栈的参数,也就是第一个参数
8048364: 89 45 fc mov %eax,0xfffffffc(%ebp) ;把eax赋值给变量a
8048367: 8b 45 0c mov 0xc(%ebp),%eax ;把参数y保存到eax。ebp+C的位置是倒数第二个入栈的参数,也就是第二个参数
804836a: 01 45 fc add %eax,0xfffffffc(%ebp) ;a+=y
804836d: 8b 45 fc mov 0xfffffffc(%ebp),%eax ;把a的值作为返回值,保存到eax
8048370: c9 leave
8048371: c3 ret
08048372 :
8048372: 8d 4c 24 04 lea 0x4(%esp),%ecx ;????
8048376: 83 e4 f0 and $0xfffffff0,%esp ;把栈指针16字节对齐
8048379: ff 71 fc pushl 0xfffffffc(%ecx) ;????
804837c: 55 push %ebp ;保存调用者的帧指针
804837d: 89 e5 mov %esp,%ebp ;把当前的栈指针作为本函数的帧指针
804837f: 51 push %ecx ;????
8048380: 83 ec 18 sub $0x18,%esp ;调整栈指针,为局部变量保留空间
8048383: c7 45 f0 12 00 00 00 movl $0x12,0xfffffff0(%ebp) ;x=0x12。ebp-16是局部变量x
804838a: c7 45 f4 34 00 00 00 movl $0x34,0xfffffff4(%ebp) ;y=0x34。ebp-12是局部变量y
8048391: 8b 45 f4 mov 0xfffffff4(%ebp),%eax ;y保存到eax
8048394: 89 44 24 04 mov %eax,0x4(%esp) ;y作为最右边的参数首先入栈
8048398: 8b 45 f0 mov 0xfffffff0(%ebp),%eax ;x保存到eax
804839b: 89 04 24 mov %eax,(%esp) ;x第二个入栈
804839e: e8 b1 ff ff ff call 8048354 ;调用add
80483a3: 89 45 f8 mov %eax,0xfffffff8(%ebp) ;把保存在eax的add的返回值,赋值给位于ebp-8的第三个局部变量result。注意这条指令的地址,就是add的返回地址
80483a6: b8 00 00 00 00 mov $0x0,%eax ;0作为main的返回值,保存到eax
80483ab: 83 c4 18 add $0x18,%esp ;恢复栈指针,也就是讨论stdcall和cdecl的时候总要提到的“调用者清栈”
80483ae: 59 pop %ecx ;
80483af: 5d pop %ebp ;
80483b0: 8d 61 fc lea 0xfffffffc(%ecx),%esp ;
80483b3: c3 ret
80483b4: 90 nop
......
有一点值得注意的是main在调用add之前把参数压栈的过程。
它用的不是push指令,而是另一种方法。
在main入口调整栈指针的时候,也就是位于8048380的这条指令 sub $0x18,%esp
不但象通常函数都要做的那样给局部变量预留了空间,还顺便把调用add的两个参数的空间也预留出来了。
然后把参数压栈的时候,用的是mov指令。
我不太明白这种方法有什么好处。
另外一个不明白的就是main入口的四条指令8048372、8048376、8048379、804837f,还有与之对应的main返回之前的指令。
貌似main对esp要求16字节对齐,所以先把原来的esp压栈,然后强行把esp的低4位清0。等到返回之前再从栈里恢复原来的esp
准备工作都做好了,现在开始gdb
对gdb不太熟悉的同学要注意一点,stepi命令执行之后显示出来的源代码行或者指令地址,都是即将执行的指令,而不是刚刚执行完的指令。
我在每个stepi后面都加了注释,就是刚执行过的指令。
[test]$ gdb -q stack
(gdb) break main
Breakpoint 1 at 0x8048383: file stack.c, line 11.
gdb并没有把断点设置在main的第一条指令,而是设置在了调整栈指针为局部变量保留空间之后
(gdb) run
Starting program: /home/brookmill/test/stack
Breakpoint 1, main () at stack.c:11
11 x = 0x12;
(gdb) stepi // 注释: movl $0x12,0xfffffff0(%ebp)
12 y = 0x34;
(gdb) stepi // 注释: movl $0x34,0xfffffff4(%ebp)
13 result = add(x, y);
(gdb) info registers esp
esp 0xbf8df8ac 0xbf8df8ac
(gdb) info registers ebp
ebp 0xbf8df8c8 0xbf8df8c8
(gdb) x/12 0xbf8df8a0
0xbf8df8a0: 0x002daff4 0x002d9220 0xbf8df8d8 0x080483e9
0xbf8df8b0: 0x001ca8d5 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
这就是传说中的栈。在main准备调用add之前,先看看这里有些什么东东
0xbf8df8c8(ebp)保存的是上一层函数的帧指针:0xbf8df938,距离这里有112字节
0xbf8df8cc(ebp+4)保存的是main的返回地址0x001b4dec
0xbf8df8b8(ebp-16)是局部变量x,已经赋值0x12;
0xbf8df8bc(ebp-12)是局部变量y,已经赋值0x34;
0xbf8df8c0(ebp-8)是局部变量result。值得注意的是,因为我们没有给result赋值,这里是一个不确定的值。局部变量如果不显式的初始化,初始值不一定是0。
现在开始调用add
(gdb) stepi // 注释: mov 0xfffffff4(%ebp),%eax
0x08048394 13 result = add(x, y);
(gdb) stepi // 注释: mov %eax,0x4(%esp)
0x08048398 13 result = add(x, y);
(gdb) x/12 0xbf8df8a0
0xbf8df8a0: 0x002daff4 0x002d9220 0xbf8df8d8 0x080483e9
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
y首先被压栈,在0xbf8df8b0
(gdb) stepi // 注释: mov 0xfffffff0(%ebp),%eax
0x0804839b 13 result = add(x, y);
(gdb) stepi // 注释: mov %eax,(%esp)
0x0804839e 13 result = add(x, y);
(gdb) x/12 0xbf8df8a0
0xbf8df8a0: 0x002daff4 0x002d9220 0xbf8df8d8 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
x第二个进栈,在0xbf8df8ac
(gdb) stepi // 注释: call 8048354
add (x=18, y=52) at stack.c:2
2 {
刚刚执行了call指令,现在我们进入了add函数
(gdb) info registers esp
esp 0xbf8df8a8 0xbf8df8a8
(gdb) info registers ebp
ebp 0xbf8df8c8 0xbf8df8c8
(gdb) x/12 0xbf8df8a0
0xbf8df8a0: 0x002daff4 0x002d9220 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
现在esp指向0xbf8df8a8,这里保存的是add函数的返回地址,它是由call指令压栈的。
(gdb) stepi // 注释: push %ebp
0x08048355 2 {
(gdb) stepi // 注释: mov %esp,%ebp
0x08048357 2 {
(gdb) stepi // 注释: sub $0x10,%esp
3 int a = 0;
(gdb) info registers esp
esp 0xbf8df894 0xbf8df894
(gdb) info registers ebp
ebp 0xbf8df8a4 0xbf8df8a4
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x002daff4 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
刚刚执行完的3条指令是函数入口的定式。
现在我们可以看到,main的栈还是原样,向下增长之后就是add的栈。
0xbf8df8a4(ebp)保存的是上层函数main的帧指针
0xbf8df8a8(ebp+4)保存的是返回地址
0xbf8df8ac(ebp+8)保存的是最后一个入栈的参数x
0xbf8df8b0(ebp+C)保存的是倒数第二个入栈的参数y
0xbf8df8a0(ebp-4)保存的是局部变量a,现在是一个不确定值
接下来add函数就真正开始干活了
(gdb) stepi // 注释: movl $0x0,0xfffffffc(%ebp)
4 a = x;
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x00000000 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
可以看到a被置0了
(gdb) stepi // 注释: mov 0x8(%ebp),%eax
0x08048364 4 a = x;
(gdb) stepi // 注释: mov %eax,0xfffffffc(%ebp)
5 a += y;
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x00000012 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
参数x(ebp+8)的值通过eax赋值给了局部变量a(ebp-4)
(gdb) stepi // 注释: mov 0xc(%ebp),%eax
0x0804836a 5 a += y;
(gdb) stepi // 注释: add %eax,0xfffffffc(%ebp)
6 return a;
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x00000046 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
参数y(ebp+C)的值通过eax加到了局部变量a(ebp-4)
现在要从add返回了。返回之前把局部变量a(ebp-4)保存到eax用作返回值
(gdb) stepi // 注释: mov 0xfffffffc(%ebp),%eax
7 }
(gdb) stepi // 注释: leave
0x08048371 in add (x=1686688, y=134513616) at stack.c:7
7 }
(gdb) stepi // 注释: ret
0x080483a3 in main () at stack.c:13
13 result = add(x, y);
现在我们回到了main,栈现在是这样的
(gdb) info registers esp
esp 0xbf8df8ac 0xbf8df8ac
(gdb) info registers ebp
ebp 0xbf8df8c8 0xbf8df8c8
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x00000046 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x001903d0 0xbf8df8e0 0xbf8df938 0x001b4dec
可以看到,esp和ebp都已经恢复到了调用add之前的值。
但是,调用add的两个参数还在栈里(0xbf8df8ac、0xbf8df8b0,都在esp以上)。
也就是说,被调用的函数add没有把它们从栈上清出去,需要调用方main来清理。这就是著名的“调用者清栈”,cdecl调用方式的特点之一。
(gdb) stepi // 注释: mov %eax,0xfffffff8(%ebp)
14 return 0;
(gdb) x/16 0xbf8df890
0xbf8df890: 0x00000000 0x08049574 0xbf8df8a8 0x08048245
0xbf8df8a0: 0x00000046 0xbf8df8c8 0x080483a3 0x00000012
0xbf8df8b0: 0x00000034 0xbf8df96c 0x00000012 0x00000034
0xbf8df8c0: 0x00000046 0xbf8df8e0 0xbf8df938 0x001b4dec
从eax得到函数add的返回值,赋值给了局部变量result(ebp-8)
(gdb) stepi // 注释: mov $0x0,%eax ;把eax置0作为main的返回值
15 }
(gdb) stepi // 注释: add $0x18,%esp ; 调用者清栈
0x080483ae 15 }
(gdb) continue
Continuing.
Program exited normally.
(gdb) quit
[test]$