函数调用栈初探

1. 一个函数调用动作可分解为：零到多个PUSH指令（用于参数入栈），一个CALL指令。CALL指令内部其实还暗含了一个将返回地址（即CALL指令下一条指令的地址）压栈的动作。
2. 几乎任何本地编译器都会在每个函数体之前插入类似如下指令：PUSH EBP; MOV EBP ESP;即，在程式执行到一个函数的真正函数体时，已有以下数据顺序入栈：参数，返回地址，EBP。 

这里我最关心的是：函数调用时，会在栈里压入返回地址，和EBP。

因为函数调用的返回地址，正是调用指令Call的下一个指令的地址，那么，有了返回地址，就可以得到Call指令的位置了。有Call指令的位置又能干什么呢？幸好汇编课里的知识还记得一点点：Call指令就是一个跳转指令，它可以让IP（instruction point[Thanks to RednaxelaFX]）指向要跳转的指令的地址，从那里开始执行。对于函数调用来说，就是让IP指向被调用的函数的地址。Call指令的操作数其实和被调用函数的地址有非常重要的关系。有了Call指令的操作数，就可以计算出被调用函数的地址。

但仅仅有这个还不够，比如，A调用了B，那么在A函数中肯定有一个Call指令，但这个Call指令中的操作数是和B函数地址相关的，与A的函数地址直接关系不大（至少在没有其它信息的情况下，不能计算出A的地址）。而我们要得到的却是A函数的地址。所以，得向上再找一层，找到调用A函数的地方，那个地方的Call指令里的操作数才和A函数地址有关。也就是说，Z函数调用了A函数，A函数调用了B函数。现在要得到A函数的地址，我们得在Z函数里找Call指令的操作数。这时候EBP就派上用场了。本地编译器在每个函数体之前插入的指令（PUSH EBP; MOV EBP ESP）构造了一个巧妙的结构，使得我们可以顺着函数调用栈一层一层向上，找到所有调用关系。

如何向上查找呢？我们看看函数调用时栈、EBP的值的情况就知道了。

假设现在函数在正Z函数内执行，那么此时栈和EBP的值可能是像下图这样的：

我们先不管现在EBP指向的内存（0x000f）中的内容XXX是什么（要不然会是鸡生蛋生鸡的问题），总之目前在栈中的着色块中的内容是属于函数Z的参数，Z执行结束后应该返回的地址以及Z函数的局部变量值。

现在Z函数调用A函数，会先将传给A的参数压栈，然后将现在这个指令（就是"Call A"啦）的下一个指令的地址压入栈中，以便A函数完后返回到Z中继续执行。然后进入A函数的内存空间，首先就是调用PUSH EBP，也就是将Z的EPB的内容（地址0x000f）压入栈中，然后再MOV EBP ESP，让EBP有一个新的栈顶（此时栈顶中的内容不就是Z函数时EBP的内容么？），然后再将A函数的局部变量压入栈中，开始执行A函数的代码。这时，栈和EBP的情况就像如图所示了： 

哈，这样就很清楚了，原来现在的EBP中的内容，正是上一级函数的EBP中的内容。而每一个函数的EBP指向的位置，向栈顶可以得到该函数的局部变量，向栈底可以得到函数的返回地址和参数。于是我们就可以根据这个结构层层向上，找到任何一层我们想找的函数EBP，从而也就能得到相应的返回地址了。　　

好，从B函数中得到Z函数对A函数调用点的返回地址的问题也就解决了。现在就是处理Call指令的问题了。

我在Visual Studio 2003的Debug版中进行反汇编调试，发现Call指令对应的机器指令都是5个byte，第一个byte（E8）是指令的器码，猜想后面4个byte应该就是它的转移的目标地址了。结果按这个地址去找，发现根本不对，想想汇编也忘得差不多了，于是又去找了教程看看，才记起原来Call的操作数并不是绝对地址，而是偏移地址（跳转目标地址－Call指令地址－sizeof(Call指令)），这样就好办了，我有返回地址，于是就有了向上5个byte就是Call的地址，再从这个地址中取出Call指令机器码的后四个字节，加上返回地址，就得到了目标地址。

原以为已经搞定了。不过还有一个小插曲，就是在VS的Debug版中，Call并不直接跳到一函数中去（不知道为什么），而是跳到一块代码区，这块区域内排布了很多的Jmp指令用于各种跳转（不知道为什么这么搞，也许是为调试的功能而设计的吧，谁知道？还请不吝赐教），不过没关系，也就是多走一点路而已，Jmp指令的操作数和Call指令的意义是一样的，最终Jmp是跳到函数代码块中去的。于是也就得到了想要的结果。