今天研究了一下vc6函數(shù)調(diào)用，看看vc6調(diào)用函數(shù)時(shí)候都做了什么。有些意思。

我寫下了如下代碼：

非常簡單。反匯編后(Debug版)變成這樣


我們主要來看看函數(shù)調(diào)用部分

1.參數(shù)壓棧
push 2
push 1
參數(shù)從右向左壓棧(__cdcel),esp遞減

2.調(diào)用函數(shù)
 call        @ILT+5(fun) (0040100a)
這條指令會把下一行代碼的地址壓棧，也就是函數(shù)返回地址。同時(shí)跳轉(zhuǎn)到函數(shù)入口處

3.進(jìn)入函數(shù)體
push        ebp
mov         ebp,esp
首先保存ebp的地址，然后把esp保存到ebp中去
00401023   sub         esp,44h
00401026   push        ebx
00401027   push        esi
00401028   push        edi
減小stack的指針(注意，stack是從內(nèi)存的高端向低端生長的)，為局部變量保留一些空間，這里的44h不是固定的，由編譯器計(jì)算得來
00401029   lea         edi,[ebp-44h]
0040102C   mov         ecx,11h
00401031   mov         eax,0CCCCCCCCh
00401036   rep stos    dword ptr [edi]
用0xCC填充局部變量空間。這是Debug模式特有的，如果是字符串，你就看到被初始化成"燙燙燙燙燙燙"
至此，整個(gè)堆棧變成
|-----------------|
|    局部變量2   |
|-----------------|
|    局部變量1    |<----ebp-4
|-----------------|
|    old ebp          |<----ebp
|-----------------|
| 函數(shù)返回地址| <----ebp+4
|-----------------|
|      參數(shù)1         | <----ebp+8
|-----------------|
|      參數(shù)2         |
|-----------------|

Next:
int i = 3;
00401038   mov         dword ptr [ebp-4],3
這里你看到[ebp-4]就是第一個(gè)局部變量i了
0040103F   mov         eax,dword ptr [ebp+8]
00401042   add         eax,dword ptr [ebp+0Ch]
00401045   add         eax,dword ptr [ebp-4]
[ebp+8],[ebp+0Ch]分別是a和b了

4.函數(shù)返回
函數(shù)的結(jié)果都是放在eax中(ps:你可以在vc的watch窗口輸入@EAX，就可以直接看到函數(shù)返回值了）
00401048   pop         edi
00401049   pop         esi
0040104A   pop         ebx
0040104B   mov         esp,ebp
0040104D   pop         ebp
0040104E   ret
把edi,esi,ebx恢復(fù)，然后恢復(fù)esp,ebp,這時(shí)函數(shù)的返回地址就在棧頂，調(diào)用ret就可以返回了。


那如果改變函數(shù)的返回地址會怎樣？
ok,我們修改一下代碼：

Wow,這時(shí)，我們就會發(fā)現(xiàn)fun2被調(diào)用了。這就是Buffer overrun(緩沖溢出)所做的事情吧。


5.最后一步，調(diào)用者調(diào)整堆棧指針
call        @ILT+5(fun) (0040100a)
 add         esp,8
為什么要調(diào)整呢，因?yàn)檎{(diào)用之前push兩個(gè)參數(shù)進(jìn)入棧，現(xiàn)在要恢復(fù)它
 mov         dword ptr [ebp-0Ch],eax
這句話就是享用函數(shù)調(diào)用的果實(shí)了(EAX保存了函數(shù)的返回值)

------end--------