當調用(call)一個函數時，主調函數將聲明中的參數表以逆序壓棧，然后將當前的代碼執行指針(eip)壓棧，跳轉到被調函數的入口點。
        進入被調函數時，函數將esp減去相應字節數獲取局部變量存儲空間。被調函數返回(ret)時，將esp加上相應字節數，歸還棧空間,彈出主調函數 壓在棧中的代碼執行指針(eip)，跳回主調函數。再由主調函數恢復到調用前的棧。
      
為了訪問函數局部變量，必須有方法定位每一個變量。變量相對于棧頂esp的位置在進入函數體時就已確定，但是由于esp會在函數執行期變動，所以將esp
的值保存在ebp中，并事先將原ebp的值壓棧保存，以聲明中的順序(即壓棧的相反順序)來確定偏移量。
訪問函數的局部變量和訪問函數參數的區別:
局部變量總是通過將ebp減去偏移量來訪問，函數參數總是通過將ebp加上偏移量來訪問。對于32位 變量而言，第一個局部變量位于ebp-4，第二個位于ebp-8，以此類推，32位局部變量在棧中形成一個逆序數組；第一個函數參數位于ebp+8，第二 個位于ebp+12，以此類推，32位函數參數在棧中形成一個正序數組。
      
函數的返回值不同于函數參數，可以通過寄存器傳遞。如果返回值類型可以放入32位變量，比如int、short、char、指針等類型，將通過eax寄存
器傳遞。如果返回值類型是64位變量，如_int64，則通過edx+eax傳遞，edx存儲高32位，eax存儲低32位。如果返回值是浮點類型，如
float和double，通過專用的浮點數寄存器棧的棧頂返回。如果返回值類型是struct或class類型，編譯器將通過隱式修改函數的簽名，以引
用型參數的形式傳回。由于函數返回值通過寄存器返回，不需要空間分配等操作，所以返回值的代價很低。基于這個原因，C89規范中約定，不寫明返回值類型的
函數，返回值類型默認為int。這一規則與現行的C++語法相違背，因為C++中，不寫明返回值類型的函數返回值類型為void，表示不返回值。這種語法
不兼容性是為了加強C++的類型安全，但同時也帶來了一些代碼兼容性問題。
代碼示例
VarType Func (Arg1, Arg2, Arg3, ... ArgN)
{
    VarType Var1, Var2, Var3, ...VarN;
    //...
    return VarN;
}
假設sizeof(VarType) = 4(DWORD), 則一次函數調用匯編代碼示例為:
調用方代碼:

push ArgN ; 依次逆序壓入調用參數
push ...
push Arg1
call Func_Address ; 壓入當前EIP后跳轉
跳轉至被調方代碼:
push ebp ; 備份調用方EBP指針
mov ebp, esp ; 建立被調方棧底
sub esp, N * 4; 為局部變量分配空間
mov dword ptr[esp- 4 * 1 ], 0 ; 初始化各個局部變量 = 0 這里假定VarType不是類
mov dword ptr[esp - 4 * ... ], 0
mov dword ptr[esp - 4 * N ], 0
. . . . . . ; 這里執行一些函數功能語句(比如將第N個參數[ebp + N * 4]存入局部變量), 功能完成后將函數返回值存至eax
add esp, N * 4 ; 銷毀局部變量
mov esp, ebp ; 恢復主調方棧頂
pop ebp ; 恢復主調方棧底
ret ; 彈出EIP 返回主調方代碼
接上面調用方代碼:
add esp, N * 4 ; 釋放參數空間, 恢復調用前的棧
mov dword ptr[ebp - 4], eax ; 將返回值保存進調用方的某個VarType型局部變量
進入函數時堆棧分配示意圖
內存低地址 | ESP - - - - - - - - - - - - - - - - EBP - - - - - - - - - - - - - - - - - - - - - >| 內存高地址
Stack State: VarN . . . Var3 Var2 Var1 SFP EIP Arg1 Arg2 Arg3 . . . ArgN
//資料
區...............................................................................................................................
SFP 解釋:      
除了堆棧指針(ESP指向堆棧頂部的的低地址)之外,
為了使用方便還有指向幀內固定地址的指針叫做幀指針(FP)。有些文章把它叫做局部基指針(LB-local base
pointer)。從理論上來說, 局部變量可以用SP加偏移量來引用。 然而, 當有字被壓棧和出棧后, 這些偏移量就變了。
盡管在某些情況下編譯器能夠跟蹤棧中的字操作, 由此可以修正偏移量, 但是在某些情況下不能。而且在所有情況下, 要引入可觀的管理開銷。
而且在有些機器上, 比如Intel處理器, 由SP加偏移量訪問一個變量需要多條指令才能實現。
        因此,
許多編譯器使用第二個寄存器, FP, 對于局部變量和函數參數都可以引用, 因為它們到FP的距離不會受到PUSH和POP操作的影響。
在Intel CPU中, BP(EBP)用于這個目的。 在Motorola CPU中,
除了A7(堆棧指針SP)之外的任何地址寄存器都可以做FP。考慮到我們堆棧的增長方向, 從FP的位置開始計算, 函數參數的偏移量是正值,
而局部變量的偏移量是負值。
      
當一個例程被調用時所必須做的第一件事是保存前一個FP(這樣當例程退出時就可以恢復這個被保存的FP稱為SFP)。 然后它把SP復制到FP,
創建新的FP, 把SP向前移動為局部變量保留空間。 這稱為例程的序幕(prolog)工作。當例程退出時, 堆棧必須被清除干凈,
這稱為例程的收尾(epilog)工作。 Intel的ENTER和LEAVE指令, Motorola的LINK和UNLINK指令,
都可以用于有效地序幕和收尾工作。
         所有局部變量都在棧中由函數統一分配，形成了類似逆序數組的結構，可以通過指針逐一訪問。這一特點具有很多有趣性質，比如，考慮如下函數，找出其中的錯 誤及其造成的結果：
void f()
{
int i,a[10];
for(i=0;i}
        這個函數中包含的錯誤，即使是C++新手也很容易發現，這是老生常談的越界訪問問
題。但是這個錯誤造成的結果，是很多人沒有想到的。這次的越界訪問，并不會像很多新手預料的那樣造成一個“非法操作”消息，也不會像很多老手估計的那樣會
默不作聲，而是導致一個死循環。
        錯誤的本質顯而易見，我們訪問了a[10]，但是a[10]并不存在。C++標準對于越界訪問只是說“未定義操作”。我們知道，a[10]是數組a 所在位置之后的一個位置，但問題是，是誰在這個位置上。是i!
      
根據前面的討論，i在數組a之前被聲明，所以在a之前分配在棧上。但是，I386上棧是向下增長的，所以，a的地址低于i的地址。其結果是在循環的最后，


---------------------------------------------
原文的紅色esp感覺應該是ebp..