函数栈帧的创建与销毁(保姆级讲解)

局部变量是怎么创建的?

在为main函数开辟栈帧空间时，在一定范围内初始化成0CCCCC，再把里面0CCCC的一些开辟空间给局部变量使用。

为什么局部变量的值是随机值?

因为我们在为main函数开辟栈帧空间时，会将一定范围内空间初始成0CCCCCC里面什么也没有，所以如果局部变量不给初始化，局部就会进入随意开辟栈帧空间，就是为随机值或者是烫烫烫。

函数是怎么传参的?传参的顺序是怎样的?

eax(b)和ecx(a)进行压栈,先传的b再传的a，从右向左。

形参和实参是什么关系?

形参是实参的一份临时拷贝，它们的值是相同的，但所使用的空间是不同的，所以形参的改变不影响实参，形参确实只是实参的一份临时拷贝。

函数调用是怎么做的?

下面我画图所解释的非常清楚了。(如果不明白的同学可以私信互相交流下)

函数调用是结束后怎么返回的?

由函数一步一步建立空间，再一步一步销毁空间返回

用保存call指令下一条指令地址与ebp-main函数的保存位置进行寄存器返回值

用寄存器eax返回最终的值。

知道和函数栈帧的创建和销毁就都会了，其实就是修炼了自己的内功，也能搞懂后期更多的知识。
进入正题
今天讲解使用的环境是VS2019
同时在不同的编译器下，函数调用过程中栈帧的创建是略有差异的，具体细节取决于编译器的实现。

首先我们要了解什么是函数栈帧？

函数栈帧就是在函数调用过程中，程序为函数所开辟的栈空间，函数一般放在栈区。

而编译器为了方便动态内存管理，一般划分为了三个区域：栈区 堆区 静态区。

而什么又是栈呢？

栈的概念及结构
栈:一种特殊的线性表，其只允许在 固定的一端 进行 插入和删除 元素操作。 进行数据插入和删除 操作的一端称为 栈顶 ，另一端称为 栈底 。栈中的数据元素遵守 后进先出 LIFO (Last in First Out) 的原则。
压栈:栈的插入操作叫做进栈/压栈/入栈(Push)， 入数据在栈顶
出栈: 栈的删除操作叫做出栈(Pop)。 出数据也在栈顶 。
特点：栈只能在栈顶进行插入和删除。

为了更加清楚了解函数栈帧，我们还需要了解下以下寄存器

eax ：保留临时数据，常用于返回值

ebx：保留临时数据

ecx

edx

ebp：栈低指针

esp：栈顶指针

ebp和esp这两个寄存器存放的是地址，这两个地址用来维护函数栈帧的。

每一个函数调用，都要在栈区创建一个空间。

接下来以如下图代码来解释函数栈帧的创建与销毁过程

#include
int Add(int x, int y)
{
	int z = 0;
	z = x + y;
	return z;
}
int main()
{
	int a = 10;
	int b = 20;
	int c = 0;
 
	c=Add(a, b);
 
	printf("%d\n", c);
 
	return 0;
}

在调用main函数时ebp和esp会维护main函数的函数栈帧。

当我按F10进入调试，并且打开调用堆栈

我们可以看见函数的调用关系，调用堆栈是反应函数的调用关系的

由调试我们可以看见main函数是被invoke_main()函数调用的

而Add函数是被main()函数调用的

那么理所当然的invoke_main函数与Add函数也是有自己的函数栈帧空间的，并且由ebp和esp来维护函数栈帧空间。

F10进入调试点击右键转到反汇编

如下图所示是此次代码的反汇编指令 

但我们为了方便更加清晰的观察，再次点右键取消显示符号名。

 

main函数第一条反汇编指令是Push(压栈) ebp。

如果是ebp压栈那么ebp的值是会变小的 因为是由高地址到低地址

这是原来的值

当我push以后的值，果然变小了

 所以是真的压进去了吗？我们可以通过内存来查看

当我们查看esp内存的地址时，ebp确实压进去了，因为esp内存的值是ebp的地址

fc f9 f3 00  VS编译器一般是：小端字节存储 低位字节数据放低地址处 高位字节数据放高地址处 

mov的意思是把esp的值给ebp 我们依然可以通常调试来查看是不是这样的

sub是subtraction减法的缩写。就是给esp减去0E4h 

 用16进制显示就是228

 当我们给esp减去所对应的值时，那么esp不能再指向原来的位置，而是指向了上一块的某块区域

当我们查看内存ebp和esp

ebp

esp

这些内存空间都是为main函数所开辟的空间 

接下来是在栈顶压3个元素 

随着压栈esp也会随着压栈指向位置会发生变化 

 

VS2019栈区内存存放习惯：先放高地址，再放低地址

下面esp的值会随着压栈 esp位置也产生了变化

lea指令是=load effective address. 意思是加载有效地址

 这个指令有效果的其实是rep stos意思是把edi开始下面将内存空间改成OCCCCCCCCh 以双倍字节开辟 dword=double word  es:[edi]把edi开始下面所有空间以双字节开辟成0CCCCCCCCh。

edi到ebp开辟内存空间

esp-24h的值如下图

 

 将十进制数0Ah放进ebp-8 就是相当于把10放到了ebp-8里面

如果不给a初始值那么就是随机值，因此在为main函数开辟空间时使用的就是CCCCCC的值，所以会出现烫烫烫(字符串 字符)或者随机值(变量)。

 

0a 00 00 00  就是10的十六进制存储 内存存储一般是十六进制存储

又是隔着两个字节存放的C的值0 (不同编译器存放位置不同，取决于编译器)

 

把20的值给eax再把eax压栈压进去

下一步指令把10给ecx然后再把ecx进行压栈

 按F11进入call令

内存中存放的是下一条add指令的地址00171987

 当我们再按一次F11会跳到Add函数的反汇编指令当中去

这和main函数的反汇编极其相似，这是在为Add函数开辟函数栈帧空间

 第一步Push压栈 第二步mov esp给ebp 第三步把0cch 给esp 相当于esp又往上走了

 

 

 

再进行压栈 

随着压栈esp的值也变化 esp的指向位置也随着变化

把ebp-0ch值给edi 把3给ecx 然后从edi开始下面所有位置改成0CCCCCCCH

 

 

 把0放到ebp-8 

 

 

 

 

ebp+0ch相当于+12 epb+12

通过调试过程看见传参是从右向左，先传的b再传的a

最后返回的时候把ebp-8的值也就是z的值给了寄存器eax

下面指令pop三次 esp也随着产生位置变化

当pop了三次esp的值 增加了3次

当pop三次要返回main函数 那么Add创建的函数栈帧就要销毁 这几个指令完成了把esp的值给ebp

再pop ebp 我们这个位置所保存main函数的ebp-main 就是为了函数返回时找到main函数的ebp

返回以后ebp和esp又开始维护了main函数的函数栈帧空间

这条指令就是为了执行call指令下一条add的功能 弹出了add指针地址

所以我们在开辟函数栈帧时保存了add指令地址

 当我们再按F10就回到了main函数Add的位置

main函数add指令 00171987与我们刚才在函数栈帧保存的call指令下一条指令的地址一模一样，也就是add指令函数的地址。就是为了方便回来，简直就是荣归故里！设计的太牛了！

给esp+8

随着esp+8形参的空间也销毁了。

把eax 30的值给ebp-20h 就是刚才c的位置

然后在程序结束时寄存器会返回所对应的值。