第一步:在kernel_init里安家(黄色区域)
代码位置: 右上角 kernel_init 函数开头
栈图对应: 左侧黄色的 “局部变量和数据”
sub $0x10, %esp动作:也就是把栈顶指针
esp往下拉 16 个字节,给kernel_init这个函数划出一块地盘(栈帧)。
movl $0x1, -0x4(%ebp)动作:把数值
1放入ebp往下 4 字节的地方。对应:这就是代码里的
int a = 1。图中黄色区域的a=1就存在这。
movl $0x2, -0x8(%ebp)动作:把数值
2放入ebp往下 8 字节的地方。对应:这就是代码里的
int b = 2。图中黄色区域的b=2就存在这。
第二步:准备调用test,打包行李(橙色区域)
代码位置: 右上角 call 指令上面的两行 push
栈图对应: 左侧橙色的 “参数传递”
这里有一个关键知识点:C语言函数参数入栈顺序是从右往左。
我们要调用的是 test(a, b),所以先压 b,再压 a。
push -0x8(%ebp)(对应代码push b)动作:把变量
b(也就是2)压入栈中。对应:图中橙色区域上方的“参数:b”。
push -0x4(%ebp)(对应代码push a)动作:把变量
a(也就是1)压入栈中。对应:图中橙色区域下方的“参数:a”。
注意:此时栈顶(esp)已经指到了“参数 a”的位置。
第三步:跳过去执行(蓝色区域)
代码位置: 右上角 10033: call 1000c <test>
栈图对应: 左侧蓝色的 “返回地址”
call ...动作:CPU要去别的地方执行代码了,但它得记得回来之后该从哪接着干。所以 CPU 会自动把“下一条指令的地址”(也就是
add $0x8, %esp这一行的地址)压入栈。对应:图中蓝色的“返回地址”。此时
esp指向这里(图中标注的esp1)。
第四步:进入test函数,建立新家(绿色区域)
代码位置: 右下角 test 函数的开头
栈图对应: 左侧绿色的 “之前ebp”
push %ebp(test函数的第一行代码)动作:
test函数说:“我也要用ebp来定位我的地盘,但我不能把kernel_init的ebp弄丢了。” 所以先把kernel_init的ebp值压入栈保存起来。对应:图中绿色的“之前的ebp”。
mov %esp, %ebp动作:把当前的栈顶位置赋值给
ebp。对应:此时
ebp和esp都指向了绿色格子的最下沿(图中标注的ebp / esp2)。
终极解密:为什么要这么折腾?
请看右下角test函数如何取参数:
现在的ebp指向绿色的“之前ebp”。
往上(高地址)走 4 个字节,是蓝色的“返回地址”。
再往上走 4 个字节(
+8),就是橙色的“参数 a”!再往上走 4 个字节(
+12或0xc),就是橙色的“参数 b”!
对照右下角代码:
mov 0x8(%ebp), %edx-> 取出了amov 0xc(%ebp), %eax-> 取出了b
总结
这张图画的就是:
黄色:调用者自己存的私房钱(局部变量)。
橙色:调用者打包给被调用者的礼物(参数)。
蓝色:回家的路标(返回地址)。
绿色:被调用者用来定位的基准桩(旧 ebp)。
被调用者(test)站在绿色的位置,往回伸手(ebp + 偏移),就能拿到别人传给它的参数。
的“死穴”)
