C程式執行時記憶體結構分析

實驗知識

• 靜態變數儲存在靜態儲存區，區域性變數儲存在動態儲存區（棧），程式碼存放在程式碼區
• 暫存器，EBP指向棧底，ESP指向棧頂，EIP指向正在執行指令的下一條指令，三個暫存器中儲存的都是地址，32位系統，地址為4個位元組即dword
• 所有寫在函式定義裡面的語句都編譯成指令（驅動CPU）

實驗程式碼

#include <stdio.h>
int fun(int a, int b);
int m = 10;
int main()
{
    int i = 4;
    int j = 5;
    m = fun(i, j);
}
int fun(int a, int b)
{
    int c = 0;
    c = a + b;
    return c;
}

這段程式碼包含兩個函式，因此可以測試函式呼叫，此外還包含了靜態變數、區域性變數、返回值等

實驗測試

測試工具：VC6.0

原始碼及對應的彙編如下

暫存器及記憶體狀態如下

EBP棧頂初始值為0018FF84h，ESP初始為0018FF48h

ESP和EBP在棧中的作用

在每個函式最開始的地方有兩條語句

push ebp
mov  ebp,esp

在函式返回前也有兩條語句

mov esp,ebp
pop ebp

每執行一個函式就新開一段棧空間，所謂的開棧空間就是移動ebp棧底，在移動ebp之前，通過push ebp儲存上一級函式的棧底，然後用ebp指向現在函式棧的棧頂，即為當前函式開闢了棧；接著給區域性變數進行地址分配以及儲存現場等，esp不斷向低地址移動，當函式呼叫結束時，esp指回當前函式的棧頂(mov esp,ebp)，然後上一級函式的棧頂地址出棧儲存在ebp中（pop ebp）。因此，每一個函式的棧頂上面都儲存著上一級函式的棧頂地址，用於當前函式結束時能夠返回上一級函式的棧，通過ebp和esp以及壓棧出棧操作對棧進行維護。

逐條分析

main函式對應的彙編程式碼如下

7:    int main()
8:    {
00401020   push        ebp                        // ebp初始為0018FF84h壓棧，壓棧後esp = 0018FF48h - 4 = 0018FF44h
00401021   mov         ebp,esp                    // ebp儲存棧頂0，ebp=esp=0018FF44h
00401023   sub         esp,48h                    // esp -= 48h開闢了一段棧空間，留待後面儲存區域性變數，此時esp=0018FF44h-48h=0018FEFCh
00401026   push        ebx                        
00401027   push        esi
00401028   push        edi                        // ebx、esi和edi壓棧，esp = 0018FEFCh - 4*3 = 0018FEF0h
00401029   lea         edi,[ebp-48h]              // lea指令將ebp-48h作為偏移地址儲存在edi中，edi=0018FEFCh，即棧中ebx的上面
0040102C   mov         ecx,12h                    
00401031   mov         eax,0CCCCCCCCh
00401036   rep stos    dword ptr [edi]            // 將eax重複儲存在以edi開始的棧空間裡，重複次數為ecx次，向高地址方向，共覆蓋12h*4=48h個地址，即棧中儲存ebx的地址以上到ebp指向的地址這一段全部填充為cch
9:        int i = 4;
00401038   mov         dword ptr [ebp-4],4        // 儲存變數i
10:       int j = 5;
0040103F   mov         dword ptr [ebp-8],5        // 儲存變數j
11:       m = fun(i, j);
00401046   mov         eax,dword ptr [ebp-8]      // 將j儲存在eax中
00401049   push        eax                        // eax壓棧, esp=0018FEF0h-4=0018FEECh
0040104A   mov         ecx,dword ptr [ebp-4]      // 將i儲存在ecx中
0040104D   push        ecx                        // ecx壓棧，esp=0018FEECh-4=0018FEE8h
0040104E   call        @ILT+0(_fun) (00401005)    // 以上實際上是為形參分配記憶體，順序從右到左，此步進行函式跳轉
00401053   add         esp,8                      // 形參的地址回收,esp=0018FEE8h+8=0018FEF0h
00401056   mov         [_m (00424a30)],eax        // 返回值存放在靜態變數m中
12:       return 0;
0040105B   xor         eax,eax                    // 返回值置為0
13:   }
0040105D   pop         edi
0040105E   pop         esi
0040105F   pop         ebx
00401060   add         esp,48h
00401063   cmp         ebp,esp
00401065   call        __chkesp (004010d0)
0040106A   mov         esp,ebp
0040106C   pop         ebp
0040106D   ret

fun函式的彙編程式碼理解

15:   int fun(int a, int b)
16:   {
00401090   push        ebp
00401091   mov         ebp,esp
00401093   sub         esp,44h
00401096   push        ebx
00401097   push        esi
00401098   push        edi
00401099   lea         edi,[ebp-44h]
0040109C   mov         ecx,11h
004010A1   mov         eax,0CCCCCCCCh
004010A6   rep stos    dword ptr [edi]            // 以上理解同main函式，ebp壓棧時儲存的地址是0018FF44h，即main函式棧開始開始的地方，然後ebp指向當前函式棧開始的地方
17:       int c = 0;
004010A8   mov         dword ptr [ebp-4],0        // 為c分配地址，並賦值
18:       c = a + b;
004010AF   mov         eax,dword ptr [ebp+8]      // 獲得第一個引數
004010B2   add         eax,dword ptr [ebp+0Ch]    // 與第二個引數求和
004010B5   mov         dword ptr [ebp-4],eax      // 結果儲存在c中
19:       return c;
004010B8   mov         eax,dword ptr [ebp-4]      // 返回值存放在eax
20:   }
004010BB   pop         edi                        // 現場恢復
004010BC   pop         esi
004010BD   pop         ebx
004010BE   mov         esp,ebp                    // 當前函式棧空間回收，以後可重新分配，esp=0018FEE8h
004010C0   pop         ebp                        // ebp恢復為0018FF44h
004010C1   ret                                    // 返回，等待執行函式呼叫的下一條指令

呼叫fun函式時的記憶體情況

區域性變數i和j儲存在48h空間的開始位置（高地址），即棧底附近，如下圖

在呼叫fun函式之前，將形參從右至左依次壓棧，如下圖

call fun函式時執行跳轉