你了解函数调用过程吗?

函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程:

  1. 对于程序运行机制中的数据结构和实现的了解,对自己开发程序有着启发作用
  2. 碰到一些疑难杂症的时候,比如函数栈溢出了或者函数栈破坏了,如何从蛛丝马迹中寻找问题的原因。
  3. 了解栈溢出可能带来的危害,黑客也许会利用栈溢出的漏洞进行攻击。

这篇博文我们一起来对函数调用的过程进行探究。

程序样例

下面是这篇博文要用到的一个样例程序:程序在main中调用了FunAdd函数。本篇就先来研究一下:

  1. 函数的参数存放在哪里?
  2. 函数调用是如何发生的?
  3. 函数的返回值是如何返回的?
  4. FuncAdd调用完成后,程序为什么知道继续顺序执行main中的代码的?
#include <stdio.h>
#include <iostream>

int FunAdd(int iPara1, int iPara2)
{
	int iAdd = 7;
	int iResult = iPara1 + iPara2 + iAdd;
	return iResult;
}

int main()
{
	int iVal1 = 5;
	int iVal2 = 6;
	int iRes = FunAdd(iVal1, iVal2);
	printf("iRes: %d\n", iRes);
	return 0;
}

图解函数调用栈

函数调用栈的基本知识:

  1. 每个线程都有一个自己的函数调用栈
  2. 栈也是程序申请的一段内存,随着栈的使用而增长。而一般编译的时候也可以指定编译选项设置栈最大值。如果递归调用层数太深,会导致栈溢出。
  3. 在系统中程序执行的时候栈都是从高地址往低地址增长的
  4. 函数参数压栈,一般从右向左压栈(比如__cdecl函数调用约定)
  5. EIP寄存器存储当前执行指令的内存位置
  6. EBP寄存器表明当前栈帧的栈底
  7. ESP寄存器表明当前栈帧的栈顶

后面将进入详细的函数调用过程讲解,这里会涉及到少量的Intel汇编。
第一步 这一行源码int iRes = FunAdd(iVal1, iVal2);,对应的汇编如下:

//iVal2存储在当前栈ebp-4的位置
//iVal2的值读取到eax,并且压栈
mov     eax,dword ptr [ebp-4]
push    eax

//iVal1存储在当前栈ebp-8的位置
//iVal1的值读取到eax,并且压栈
mov     ecx,dword ptr [ebp-8]
push    ecx

//调用call指令调用函数FunAdd
call    StackResearch!FunAdd (000f1000)

//后面进行解释
add     esp,8
mov     dword ptr [ebp-0Ch],eax

根据上面的汇编解释,将iVal2和iVal1的值作为函数参数依次压栈(参数从右向左),而call指令除了调用FunAdd还有一个隐含的操作,就是将下一条指令的地址压栈(这条指令地址就是add esp,8的地址, 一般也称为Return Address), 这个用于FunAdd函数返回的时候知道接着应该执行哪条指令。
此时的栈帧应该如下图所示:
你了解函数调用过程吗?

第二步 开始执行FunAdd,函数的汇编和解释如下:

push    ebp
mov     ebp,esp
sub     esp,8
mov     dword ptr [ebp-4],7
mov     eax,dword ptr [ebp+8]
add     eax,dword ptr [ebp+0Ch]
add     eax,dword ptr [ebp-4]
mov     dword ptr [ebp-8],eax
mov     eax,dword ptr [ebp-8]
mov     esp,ebp
pop     ebp
ret

这里我们将汇编指令拆分进行讲解,便于理解。
步骤2.1 记录原先的栈底EBP (一般称作Child EBP), 即将main的EBP压栈。

push    ebp

步骤2.2 修改栈底,将当前ESP设置为EBP,切换到当前函数FunAdd的栈帧。

mov     ebp,esp

步骤2.3 将ESP减去8,即栈增长8个字节(记住栈是从高地址往低地址增长的)这个操作就等于在栈上申请了8个字节的空间,为什么是8个字节呢?这8个字节正是用于存储iAddiResult(int默认四个字节)。

sub     esp,8

此时的栈帧如图:
你了解函数调用过程吗?
步骤2.4 EBP-4地址则存放着iAdd,这个表明将iAdd初始化为7

mov     dword ptr [ebp-4],7

步骤2.5 EBP+8地址存储的值对应着iPara1EBP+0Ch地址存储的值对应着iPara2, EBP-4地址则存放着iAdd,通过EAX寄存器,对三个值进行相加(iPara1 + iPara2 + iAdd)并且储存在EAX寄存器。

mov     eax,dword ptr [ebp+8]
add     eax,dword ptr [ebp+0Ch]
add     eax,dword ptr [ebp-4]

步骤2.6 EBP-8地址则存放着iResult,将步骤2.5中求和的结果从EAX中读取存放到iResult

mov     dword ptr [ebp-8],eax

步骤2.7 怎么和步骤2.6反过来了一次? 这是因为EAX寄存器用来存储返回值,即将iResult的值存入EAX寄存器。(本人为了将整个过程比较好的呈现,关闭了优化选项)

mov     eax,dword ptr [ebp-8]

步骤2.8 返回值准备好了,现在准备修改栈帧了。还记得在步骤2.1中将Child EBP的值(即main函数的EBP)保存在当前栈帧FunAdd的栈底不?此时将ESP指向栈底,然后执行pop ebp恢复原先的main函数栈帧。

mov     esp,ebp
pop     ebp

步骤2.9 此时的ESP指向的值正是在第一步中保存的Return Address,即FunAdd调用后的下一条指令。ret指令将ESP指向的值存储到EIP,并且暗含的将ESP+4,将栈顶缩小四个字节。
此时读者想一想,如果函数存在栈溢出的漏洞,黑客是否可以覆盖Return Address为恶意代码的执行地址呢?这样就会跳转到恶意代码的执行地址。

ret

此时FunAdd函数调用完毕,函数栈帧如下图所示:
你了解函数调用过程吗?

但还有些事情没有完成:栈上还存在着调用FunAdd入栈的两个参数,返回值还没有获取。

第三步 还记得第一步中还有两个指令没有讲解吗?

add     esp,8
mov     dword ptr [ebp-0Ch],eax

首先调用add esp, 8即将栈顶去除八个字节,而这8个字节正是用来存储FunAdd入栈参数的。因为本人编译的时候函数约定默认采用的__cdecl, 所以由调用函数main来清理入栈的函数参数。
EBP-0Ch地址存储的是iRes,从第二步中可知,将返回结果存储在EAX, mov dword ptr [ebp-0Ch],eax将返回结果存储到iRes中。

写到这里了,如果你还有不明白的,欢迎发信息和博主一起进行探讨哦。


最后是个人微信公众号,文章CSDN和微信公众号都会发,欢迎一起讨论。
你了解函数调用过程吗?

上一篇:VMP加壳(一):原理


下一篇:[安全攻防进阶篇] 十.熊猫烧香病毒机理IDA和OD逆向分析--病毒释放过程(中)