关于编译型语言函数的调用(二)

接上文: http://blog.csdn.net/prsniper/article/details/40652451


上文中提到的局部变量的地址,第一个是[ebp-4],由于32位内存对齐的原因,第二个是[ebp-8],对于VC7以上的版本,这个地址可能会不一样

比如第一个可能是[ebp-8],第二个飞到[ebp-14],这是VS.NET的VC编译器在每个局部变量前后都加一个DWORD,值自然是0xCCCCCCCC

debug下如果函数结束后,这些DWORD的值不是0xCCCCCCCC那么说明代码意外的访问了不该访问的地方,即溢出


下面我们进入有返回值的,默认__cdecl约定的函数看看:

122:      ret = fnDefaultCall(4, 5, 6, &var1);
0040136B   lea         eax,[ebp-14h]
0040136E   push        eax
0040136F   push        6
00401371   push        5
00401373   push        4
00401375   call        @ILT+0(fnDefaultCall) (00401005)
0040137A   add         esp,10h
0040137D   mov         dword ptr [ebp-18h],eax
123:
有了前面的知识,调用简单了,传址吗,把地址装到eax,push到堆栈,等等

咦?这个eax传送到ret的地址,这不是变量没有初始化就使用吗?或者eax是ret的地址也就是ebp-14,这是怎么回事?

元芳说,VC中函数使用eax和edx作为返回值! 你要早这么说,我就了然了...

我们跟踪进去,看看它都做了什么勾当,关键在这几个地方

31:       p = (int *)arg4;
004011CC   mov         eax,dword ptr [ebp+14h]
004011CF   mov         dword ptr [ebp-10h],eax
32:       *p = 7;
004011D2   mov         ecx,dword ptr [ebp-10h]
004011D5   mov         dword ptr [ecx],7
33:
34:       return 0;
004011DB   xor         eax,eax
35:   }
004011DD   pop         edi
首先传进来的DWORD是指针,汇编语言满天都是指针,相比高级语言的指针就少得多,vb等干脆就没有指针的概念,

C/C++则能兼容大部分汇编语言的功能,强制转换,那么接下来赋值就好理解了,*p = 7就是

move p的值到ecx, 再mov 7到[ecx]就是ecx指向的内存地址

如果是*(int *)arg4 = 7就是 mov ecx, [ebp+14h]再 mov [ecx], 7了,注意如果是 arg4 =7那就不一样就修改地址的值为7,而不是值为7了

后面return 0就是xor eax, 任何数xor自身都变0,eax作为返回值,如前面所说

执行完毕,main函数的var1=7;ret=0;


接下来,我们就要调用__stdcall的函数,这个东西古老的pascal就使用这种约定,然而要说明的一点是,所有的Windows API也使用这种约定

那么我们就一探究竟吧!

124:      ret = fnStandardCall(8, 9, 10, &var1);
00401380   lea         ecx,[ebp-14h]
00401383   push        ecx
00401384   push        0Ah
00401386   push        9
00401388   push        8
0040138A   call        @ILT+20(fnStandardCall) (00401019)
0040138F   mov         dword ptr [ebp-18h],eax
125:
从调用的指令一看,细心的你会立刻发现,这小姑娘身上好像少了点什么挂件,阿弥陀佛,罪过!罪过!

不错,前面函数调用结束后都有add esp,xxx把之前push的参数都弹出,这里却没有,真是奇哉怪也!

那么我们就跟踪进入阴暗的小巷,看看他都做了什么勾当!

37:   int __stdcall fnStandardCall(int arg1, short arg2, char arg3, void *arg4)
38:   {
00401200   push        ebp
00401201   mov         ebp,esp
00401203   sub         esp,50h
00401206   push        ebx
00401207   push        esi
00401208   push        edi
00401209   lea         edi,[ebp-50h]
0040120C   mov         ecx,14h
00401211   mov         eax,0CCCCCCCCh
00401216   rep stos    dword ptr [edi]
39:       int var1;
40:       short var2;
41:       char var3;
42:       int *p;
43:
44:       var1 = arg1;
00401218   mov         eax,dword ptr [ebp+8]
0040121B   mov         dword ptr [ebp-4],eax
45:       var2 = arg2;
0040121E   mov         cx,word ptr [ebp+0Ch]
00401222   mov         word ptr [ebp-8],cx
46:       var3 = arg3;
00401226   mov         dl,byte ptr [ebp+10h]
00401229   mov         byte ptr [ebp-0Ch],dl
47:       p = (int *)arg4;
0040122C   mov         eax,dword ptr [ebp+14h]
0040122F   mov         dword ptr [ebp-10h],eax
48:       *p = 11;
00401232   mov         ecx,dword ptr [ebp-10h]
00401235   mov         dword ptr [ecx],0Bh
49:
50:       return 0;
0040123B   xor         eax,eax
51:   }
0040123D   pop         edi
0040123E   pop         esi
0040123F   pop         ebx
00401240   mov         esp,ebp
00401242   pop         ebp
00401243   ret         10h
上面的东西与默认的__cdecl约定一摸一样,曾泰说:恩师所言,丝毫不差!

最后是关键, 以前的ret, 变成了ret 10h,跑到这,或者说合并到这里了,元芳说: 事情的真相居然是这样!

这所谓的维护堆栈,不过是干完事,谁来清理现场而已嘛!

是这样,而不全然这么肤浅,比如API只要把参数传递进来,获取返回值即可,所以这是一种给调用者偷懒的约定.


那么接下来就是fastcall了,顾名思义应该是快速调用,怎么个快速法呢?看调用

125:
126:      ret = fnFastCall(11, 12, 13, &var1);
00401392   lea         edx,[ebp-14h]
00401395   push        edx
00401396   push        0Dh
00401398   mov         edx,0Ch
0040139D   mov         ecx,0Bh
004013A2   call        @ILT+25(fnFastCall) (0040101e)
004013A7   mov         dword ptr [ebp-18h],eax
127:
乖乖呀,只有两个push,第一第二个参数直接传送的ecx和edx,其他的跟__stdcall一摸一样!

这不用push也可以吗? 这个问题应该这样问,为什么一定要push才可以呢!我们再跟踪看看详细的:

53:   int __fastcall fnFastCall(int arg1, short arg2, char arg3, void *arg4)
54:   {
00401260   push        ebp
00401261   mov         ebp,esp
00401263   sub         esp,58h
00401266   push        ebx
00401267   push        esi
00401268   push        edi
00401269   push        ecx
0040126A   lea         edi,[ebp-58h]
0040126D   mov         ecx,16h
00401272   mov         eax,0CCCCCCCCh
00401277   rep stos    dword ptr [edi]
00401279   pop         ecx
0040127A   mov         word ptr [ebp-8],dx
0040127E   mov         dword ptr [ebp-4],ecx
关键就在前面这几条指令,在创建函数临时堆栈时,编译器保护了这两个寄存器,然后自动创建两个局部变量把他们保存起来

所以说,编译器不是人,它不管这些!因而,C/C++的效率虽然高,正常的程序员写出来的程序比起汇编语言还是差一大截,除非内联汇编或者经过优化

以后我们讲到裸函数的时候再说这一点, 函数往后的代码就好理解了,与前面的几乎一模一样

65:
66:       return 0;
004012A4   xor         eax,eax
67:   }
004012A6   pop         edi
004012A7   pop         esi
004012A8   pop         ebx
004012A9   mov         esp,ebp
004012AB   pop         ebp
004012AC   ret         8
注意后面的ret 8,因为后面直接恢复esp,因而过程中的push都静悄悄的被pop了


接着我们说thiscall,当调用一个类的成员变量时,自动传递了this指针,因而thiscall是隐式的声明

我们先看new一个对象的汇编指令:

128:      pCall = new CCall();
004013AA   push        4
004013AC   call        operator new (004015b0)
004013B1   add         esp,4
004013B4   mov         dword ptr [ebp-20h],eax
004013B7   mov         dword ptr [ebp-4],0
004013BE   cmp         dword ptr [ebp-20h],0
004013C2   je          main+0A1h (004013d1)
004013C4   mov         ecx,dword ptr [ebp-20h]
004013C7   call        @ILT+35(CCall::CCall) (00401028)
004013CC   mov         dword ptr [ebp-2Ch],eax
004013CF   jmp         main+0A8h (004013d8)
004013D1   mov         dword ptr [ebp-2Ch],0
004013D8   mov         eax,dword ptr [ebp-2Ch]
004013DB   mov         dword ptr [ebp-1Ch],eax
004013DE   mov         dword ptr [ebp-4],0FFFFFFFFh
004013E5   mov         ecx,dword ptr [ebp-1Ch]
004013E8   mov         dword ptr [ebp-10h],ecx
在这个级别, new 其实是一个函数. 而且可以看出,CCall的内存大小是四字节.

返回后保存到pCall即[ebp-20],这里突然冒出一句mov [ebp-4], 0,后面我们再说

然后判断返回的指针是否为NULL,cmp指令,如果为NULL跳转到0x004013d1,即mov  dword ptr [ebp-2Ch],0这条

如果不为零继续执行

mov         ecx,dword ptr [ebp-20h]

call        @ILT+35(CCall::CCall) (00401028)

[ebp-20]就是pCall,call的是类的构造函数,哄哄,原来把this传送到了ecx里面,再跟踪看看构造函数

00401079   push        ecx
0040107A   lea         edi,[ebp-44h]
0040107D   mov         ecx,11h
00401082   mov         eax,0CCCCCCCCh
00401087   rep stos    dword ptr [edi]
00401089   pop         ecx
0040108A   mov         dword ptr [ebp-4],ecx
6:        m_Var1 = 18;
0040108D   mov         eax,dword ptr [ebp-4]
00401090   mov         dword ptr [eax],12h
7:    }
00401096   mov         eax,dword ptr [ebp-4]
先把ecx(也就是thsi指针)保存,创建临时堆栈以后,创建一个临时变量代替ecx,即[ebp-4],因为m_Var1是第一个成员,类只占4个字节

所以直接传送到eax即[ebp-4],然后把ebp-4的值传送给eax,可以看出编译器绕了一大段弯子,这就是为什么以前谈游戏看法的时候

我尽可能的使用C语言,而不用C++的原因,此外可以看出,构造函数是有返回值的,返回值就是this!

回到调用代码,正常初始化后直接跳转,跳过new失败的这条

004013D1   mov         dword ptr [ebp-2Ch],0

而后一大堆mov传来传去,eax就是返回值this,传给[ebp-2c],然后如果new失败[ebp-2c]又传进0,然后又传给eax,然后传给[ebp-1c]!!!

作为一个追求完美的技术人员,恨不得把微软千刀万剐!

看判断new返回值之前有个[ebp-4]赋值为0,此时再赋值为-1,然后又把[ebp-1c]传来传去的0传给ecx,再把ecx传给[ebp-10],无语了吧!

别看这么多飞来飞去,如果正常初始化执行成功,[ebp-10]就是类的指针,如果new失败则是0即NULL!


下面就是调用成员函数了:

129:      ret = pCall->Call(15, 16, 17, &var1);
004013EB   lea         edx,[ebp-14h]
004013EE   push        edx
004013EF   push        11h
004013F1   push        10h
004013F3   push        0Fh
004013F5   mov         ecx,dword ptr [ebp-10h]
004013F8   call        @ILT+30(CCall::Call) (00401023)
004013FD   mov         dword ptr [ebp-18h],eax
同样this指针被传送到ecx,返回值保存在eax寄存器中.参数从右向左依次入栈. 堆栈成员函数自动清理
004010E9   push        ecx
004010EA   lea         edi,[ebp-54h]
004010ED   mov         ecx,15h
004010F2   mov         eax,0CCCCCCCCh
004010F7   rep stos    dword ptr [edi]
004010F9   pop         ecx
004010FA   mov         dword ptr [ebp-4],ecx
15:       int var1;
16:       short var2;
17:       char var3;
18:       int *p;
19:       var1 = arg1;
004010FD   mov         eax,dword ptr [ebp+8]
00401100   mov         dword ptr [ebp-8],eax
20:       var2 = arg2;
00401103   mov         cx,word ptr [ebp+0Ch]
00401107   mov         word ptr [ebp-0Ch],cx
21:       var3 = arg3;
0040110B   mov         dl,byte ptr [ebp+10h]
0040110E   mov         byte ptr [ebp-10h],dl
22:       p = (int *)arg4;
00401111   mov         eax,dword ptr [ebp+14h]
00401114   mov         dword ptr [ebp-14h],eax
23:       *p = m_Var1;
00401117   mov         ecx,dword ptr [ebp-14h]
0040111A   mov         edx,dword ptr [ebp-4]
0040111D   mov         eax,dword ptr [edx]
0040111F   mov         dword ptr [ecx],eax
24:       return 0;
00401121   xor         eax,eax
25:   }
可以看出,仍然创建一个临时变量来保存ecx(就是[ebp-4]),然后以此引用成员变量,可见thiscall比起上面的各种调用约定都要啰嗦

都要慢, 不过这是面向对象对象的代价,开发和维护更简单,牺牲的就是执行效率,这个只能靠硬件性能来弥补;

同理,.NET开发和维护调试超级容易,容错能力极其强大,还牺牲了安全性,在dis#面前,源代码完全暴露...


那么又是int3的时候了,下文我们说最后一个函数的有关知识,裸函数!


郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。