當(dāng)調(diào)用(call)一個(gè)函數(shù)時(shí)，主調(diào)函數(shù)將聲明中的參數(shù)表以逆序壓棧，然后將當(dāng)前的代碼執(zhí)行指針(eip)壓棧，跳轉(zhuǎn)到被調(diào)函數(shù)的入口點(diǎn)。
        進(jìn)入被調(diào)函數(shù)時(shí)，函數(shù)將esp減去相應(yīng)字節(jié)數(shù)獲取局部變量存儲(chǔ)空間。被調(diào)函數(shù)返回(ret)時(shí)，將esp加上相應(yīng)字節(jié)數(shù)，歸還棧空間,彈出主調(diào)函數(shù) 壓在棧中的代碼執(zhí)行指針(eip)，跳回主調(diào)函數(shù)。再由主調(diào)函數(shù)恢復(fù)到調(diào)用前的棧。
      
為了訪問函數(shù)局部變量，必須有方法定位每一個(gè)變量。變量相對(duì)于棧頂esp的位置在進(jìn)入函數(shù)體時(shí)就已確定，但是由于esp會(huì)在函數(shù)執(zhí)行期變動(dòng)，所以將esp
的值保存在ebp中，并事先將原ebp的值壓棧保存，以聲明中的順序(即壓棧的相反順序)來(lái)確定偏移量。
訪問函數(shù)的局部變量和訪問函數(shù)參數(shù)的區(qū)別:
局部變量總是通過(guò)將ebp減去偏移量來(lái)訪問，函數(shù)參數(shù)總是通過(guò)將ebp加上偏移量來(lái)訪問。對(duì)于32位 變量而言，第一個(gè)局部變量位于ebp-4，第二個(gè)位于ebp-8，以此類推，32位局部變量在棧中形成一個(gè)逆序數(shù)組；第一個(gè)函數(shù)參數(shù)位于ebp+8，第二 個(gè)位于ebp+12，以此類推，32位函數(shù)參數(shù)在棧中形成一個(gè)正序數(shù)組。
      
函數(shù)的返回值不同于函數(shù)參數(shù)，可以通過(guò)寄存器傳遞。如果返回值類型可以放入32位變量，比如int、short、char、指針等類型，將通過(guò)eax寄存
器傳遞。如果返回值類型是64位變量，如_int64，則通過(guò)edx+eax傳遞，edx存儲(chǔ)高32位，eax存儲(chǔ)低32位。如果返回值是浮點(diǎn)類型，如
float和double，通過(guò)專用的浮點(diǎn)數(shù)寄存器棧的棧頂返回。如果返回值類型是struct或class類型，編譯器將通過(guò)隱式修改函數(shù)的簽名，以引
用型參數(shù)的形式傳回。由于函數(shù)返回值通過(guò)寄存器返回，不需要空間分配等操作，所以返回值的代價(jià)很低。基于這個(gè)原因，C89規(guī)范中約定，不寫明返回值類型的
函數(shù)，返回值類型默認(rèn)為int。這一規(guī)則與現(xiàn)行的C++語(yǔ)法相違背，因?yàn)镃++中，不寫明返回值類型的函數(shù)返回值類型為void，表示不返回值。這種語(yǔ)法
不兼容性是為了加強(qiáng)C++的類型安全，但同時(shí)也帶來(lái)了一些代碼兼容性問題。
代碼示例
VarType Func (Arg1, Arg2, Arg3, ... ArgN)
{
    VarType Var1, Var2, Var3, ...VarN;
    //...
    return VarN;
}
假設(shè)sizeof(VarType) = 4(DWORD), 則一次函數(shù)調(diào)用匯編代碼示例為:
調(diào)用方代碼:

push ArgN ; 依次逆序壓入調(diào)用參數(shù)
push ...
push Arg1
call Func_Address ; 壓入當(dāng)前EIP后跳轉(zhuǎn)
跳轉(zhuǎn)至被調(diào)方代碼:
push ebp ; 備份調(diào)用方EBP指針
mov ebp, esp ; 建立被調(diào)方棧底
sub esp, N * 4; 為局部變量分配空間
mov dword ptr[esp- 4 * 1 ], 0 ; 初始化各個(gè)局部變量 = 0 這里假定VarType不是類
mov dword ptr[esp - 4 * ... ], 0
mov dword ptr[esp - 4 * N ], 0
. . . . . . ; 這里執(zhí)行一些函數(shù)功能語(yǔ)句(比如將第N個(gè)參數(shù)[ebp + N * 4]存入局部變量), 功能完成后將函數(shù)返回值存至eax
add esp, N * 4 ; 銷毀局部變量
mov esp, ebp ; 恢復(fù)主調(diào)方棧頂
pop ebp ; 恢復(fù)主調(diào)方棧底
ret ; 彈出EIP 返回主調(diào)方代碼
接上面調(diào)用方代碼:
add esp, N * 4 ; 釋放參數(shù)空間, 恢復(fù)調(diào)用前的棧
mov dword ptr[ebp - 4], eax ; 將返回值保存進(jìn)調(diào)用方的某個(gè)VarType型局部變量
進(jìn)入函數(shù)時(shí)堆棧分配示意圖
內(nèi)存低地址 | ESP - - - - - - - - - - - - - - - - EBP - - - - - - - - - - - - - - - - - - - - - >| 內(nèi)存高地址
Stack State: VarN . . . Var3 Var2 Var1 SFP EIP Arg1 Arg2 Arg3 . . . ArgN
//資料
區(qū)...............................................................................................................................
SFP 解釋:      
除了堆棧指針(ESP指向堆棧頂部的的低地址)之外,
為了使用方便還有指向幀內(nèi)固定地址的指針叫做幀指針(FP)。有些文章把它叫做局部基指針(LB-local base
pointer)。從理論上來(lái)說(shuō), 局部變量可以用SP加偏移量來(lái)引用。 然而, 當(dāng)有字被壓棧和出棧后, 這些偏移量就變了。
盡管在某些情況下編譯器能夠跟蹤棧中的字操作, 由此可以修正偏移量, 但是在某些情況下不能。而且在所有情況下, 要引入可觀的管理開銷。
而且在有些機(jī)器上, 比如Intel處理器, 由SP加偏移量訪問一個(gè)變量需要多條指令才能實(shí)現(xiàn)。
        因此,
許多編譯器使用第二個(gè)寄存器, FP, 對(duì)于局部變量和函數(shù)參數(shù)都可以引用, 因?yàn)樗鼈兊紽P的距離不會(huì)受到PUSH和POP操作的影響。
在Intel CPU中, BP(EBP)用于這個(gè)目的。 在Motorola CPU中,
除了A7(堆棧指針SP)之外的任何地址寄存器都可以做FP。考慮到我們堆棧的增長(zhǎng)方向, 從FP的位置開始計(jì)算, 函數(shù)參數(shù)的偏移量是正值,
而局部變量的偏移量是負(fù)值。
      
當(dāng)一個(gè)例程被調(diào)用時(shí)所必須做的第一件事是保存前一個(gè)FP(這樣當(dāng)例程退出時(shí)就可以恢復(fù)這個(gè)被保存的FP稱為SFP)。 然后它把SP復(fù)制到FP,
創(chuàng)建新的FP, 把SP向前移動(dòng)為局部變量保留空間。 這稱為例程的序幕(prolog)工作。當(dāng)例程退出時(shí), 堆棧必須被清除干凈,
這稱為例程的收尾(epilog)工作。 Intel的ENTER和LEAVE指令, Motorola的LINK和UNLINK指令,
都可以用于有效地序幕和收尾工作。
         所有局部變量都在棧中由函數(shù)統(tǒng)一分配，形成了類似逆序數(shù)組的結(jié)構(gòu)，可以通過(guò)指針逐一訪問。這一特點(diǎn)具有很多有趣性質(zhì)，比如，考慮如下函數(shù)，找出其中的錯(cuò) 誤及其造成的結(jié)果：
void f()
{
int i,a[10];
for(i=0;i}
        這個(gè)函數(shù)中包含的錯(cuò)誤，即使是C++新手也很容易發(fā)現(xiàn)，這是老生常談的越界訪問問
題。但是這個(gè)錯(cuò)誤造成的結(jié)果，是很多人沒有想到的。這次的越界訪問，并不會(huì)像很多新手預(yù)料的那樣造成一個(gè)“非法操作”消息，也不會(huì)像很多老手估計(jì)的那樣會(huì)
默不作聲，而是導(dǎo)致一個(gè)死循環(huán)。
        錯(cuò)誤的本質(zhì)顯而易見，我們?cè)L問了a[10]，但是a[10]并不存在。C++標(biāo)準(zhǔn)對(duì)于越界訪問只是說(shuō)“未定義操作”。我們知道，a[10]是數(shù)組a 所在位置之后的一個(gè)位置，但問題是，是誰(shuí)在這個(gè)位置上。是i!
      
根據(jù)前面的討論，i在數(shù)組a之前被聲明，所以在a之前分配在棧上。但是，I386上棧是向下增長(zhǎng)的，所以，a的地址低于i的地址。其結(jié)果是在循環(huán)的最后，


---------------------------------------------
原文的紅色esp感覺應(yīng)該是ebp..