技术专题

vc6函数调用浅析(zz)

2009年10月30日 阅读(335)

http://www.cppblog.com/sandy/archive/2005/12/14/1745.html

今天研究了一下vc6函数调用,看看vc6调用函数时候都做了什么。有些意思。

我写下了如下代码:

int fun(int a,int b)
{
    int i = 3;
    return a+b+i;
}

int main()
{
    int a = 1,b=2;
    int result ;
    result = fun(1,2);
    return result;
}

非常简单。反汇编后(Debug版)变成这样

1:    int fun(int a,int b)
2:    {
00401020   push        ebp
00401021   mov         ebp,esp
00401023   sub         esp,44h
00401026   push        ebx
00401027   push        esi
00401028   push        edi
00401029   lea         edi,[ebp-44h]
0040102C   mov         ecx,11h
00401031   mov         eax,0CCCCCCCCh
00401036   rep stos    dword ptr [edi]
3:        int i = 3;
00401038   mov         dword ptr [ebp-4],3
4:        return a+b+i;
0040103F   mov         eax,dword ptr [ebp+8]
00401042   add         eax,dword ptr [ebp+0Ch]
00401045   add         eax,dword ptr [ebp-4]
5:    }
00401048   pop         edi
00401049   pop         esi
0040104A   pop         ebx
0040104B   mov         esp,ebp
0040104D   pop         ebp
0040104E   ret

7:    int main()
8:    {
00401060   push        ebp
00401061   mov         ebp,esp
00401063   sub         esp,4Ch
00401066   push        ebx
00401067   push        esi
00401068   push        edi
00401069   lea         edi,[ebp-4Ch]
0040106C   mov         ecx,13h
00401071   mov         eax,0CCCCCCCCh
00401076   rep stos    dword ptr [edi]
9:        int a = 1,b=2;
00401078   mov         dword ptr [ebp-4],1
0040107F   mov         dword ptr [ebp-8],2
10:       int result ;
11:       result = fun(1,2);
00401086   push        2
00401088   push        1
0040108A   call        @ILT+5(fun) (0040100a)
0040108F   add         esp,8
00401092   mov         dword ptr [ebp-0Ch],eax
12:       return result;
00401095   mov         eax,dword ptr [ebp-0Ch]
13:   }
00401098   pop         edi
00401099   pop         esi
0040109A   pop         ebx
0040109B   add         esp,4Ch
0040109E   cmp         ebp,esp
004010A0   call        __chkesp (004010c0)
004010A5   mov         esp,ebp
004010A7   pop         ebp
004010A8   ret

我们主要来看看函数调用部分

1.参数压栈

push 2

push 1

参数从右向左压栈(__cdcel),esp递减

2.调用函数

 call        @ILT+5(fun) (0040100a)

这条指令会把下一行代码的地址压栈,也就是函数返回地址。同时跳转到函数入口处

3.进入函数体

push        ebp

mov         ebp,esp

首先保存ebp的地址,然后把esp保存到ebp中去

00401023   sub         esp,44h

00401026   push        ebx

00401027   push        esi

00401028   push        edi

减小stack的指针(注意,stack是从内存的高端向低端生长的),为局部变量保留一些空间,这里的44h不是固定的,由编译器计算得来

00401029   lea         edi,[ebp-44h]

0040102C   mov         ecx,11h

00401031   mov         eax,0CCCCCCCCh

00401036   rep stos    dword ptr [edi]

用0xCC填充局部变量空间。这是Debug模式特有的,如果是字符串,你就看到被初始化成"烫烫烫烫烫烫"

至此,整个堆栈变成

|—————–|

|    局部变量2   |

|—————–|

|    局部变量1    |<—-ebp-4

|—————–|

|    old ebp          |<—-ebp

|—————–|

| 函数返回地址| <—-ebp+4

|—————–|

|      参数1         | <—-ebp+8

|—————–|

|      参数2         |

|—————–|

Next:

int i = 3;

00401038   mov         dword ptr [ebp-4],3

这里你看到[ebp-4]就是第一个局部变量i了

0040103F   mov         eax,dword ptr [ebp+8]

00401042   add         eax,dword ptr [ebp+0Ch]

00401045   add         eax,dword ptr [ebp-4]

[ebp+8],[ebp+0Ch]分别是a和b了

4.函数返回

函数的结果都是放在eax中(ps:你可以在vc的watch窗口输入@EAX,就可以直接看到函数返回值了)

00401048   pop         edi

00401049   pop         esi

0040104A   pop         ebx

0040104B   mov         esp,ebp

0040104D   pop         ebp

0040104E   ret

把edi,esi,ebx恢复,然后恢复esp,ebp,这时函数的返回地址就在栈顶,调用ret就可以返回了。

那如果改变函数的返回地址会怎样?

ok,我们修改一下代码:

#include <stdio.h>
void fun2()
{
    printf("fun2() called");
}

int fun(int a,int b)
{
    int i = 3;
    printf("return address:0x%x\n",&i+2);
    printf("fun2 address:0x%x\n",&fun2);
    /*int *p = (int*)&fun2;
    __asm
    {
        mov ebx,p
        mov dword ptr[ebp+4],ebx
    }*/
    *(&i+2)=(int)&fun2; //modify return address
    return a+b+i;
}

int main()
{
    int a = 1,b=2;
    int result ;
    result = fun(1,2);
    return result;
}

Wow,这时,我们就会发现fun2被调用了。这就是Buffer overrun(缓冲溢出)所做的事情吧。


5.最后一步,调用者调整堆栈指针

call        @ILT+5(fun) (0040100a)

 add         esp,8

为什么要调整呢,因为调用之前push两个参数进入栈,现在要恢复它

 mov         dword ptr [ebp-0Ch],eax

这句话就是享用函数调用的果实了(EAX保存了函数的返回值)

——end——–

You Might Also Like