大家都知道函式呼叫是通过栈来实现的,而且知道在栈中存放着该函式的区域性变数。但是对于栈的实现细节可能不一定清楚。本文将介绍一下在Linux平台下函式栈是如何实现的。有些同学可能觉得没必要了解这么深入,其实非也。根据本号多年的经验,了解系统深层次的原理对分析疑难问题有很好的帮助。
图0 函式栈
就像熟悉抓包是解决网络通讯问题的高阶武器一样,熟悉函式呼叫栈则是分析程式内存问题的高阶武器。本文以Linux 64位操作系统下C语言开发为例,介绍应用程序呼叫栈的实现原理,并通过一个例项和GDB工具具体分析一下某个程式的呼叫栈内容。在介绍具体的呼叫栈之前,我们先介绍一些基础知识,这些知识是理解后续函式呼叫栈的基础。
X86 CPU的暂存器
CPU的暂存器是需要了解的基础知识,这是因为在X64体系中函式的引数是通过暂存器传递的。如图1是X86 CPU暂存器的列表及功能简要说明。
图1 Intel X86 CPU暂存器用途
我们知道Intel的CPU在设计的时候都是向前相容的,也就是在新一代的CPU上可以执行老一代CPU上的编译的程式。为了保证相容性,新一代CPU保留了老一代暂存器的别名。以16位暂存器AX为例,AL表示低8位,AH表示高8位。而32位CPU问世之后,通过名为EAX的暂存器表示32位暂存器,AX仍然保留。以此类推,RAX表示一个64位暂存器。
图2 不同的暂存器名称
应用程序的地址空间
操作系统通过虚拟内存的方式为所有应用程序提供了统一的内存对映地址。如图3所示,从上到下分别是使用者栈、共享库内存、执行时堆和程式码段。当然这个是一个大概的分段,实际分段比这个可能稍微复杂一些,但整个格局没有大变化。
图3 应用程序的地址空间
从图中可以看出使用者栈是从上往下生长的。也就是使用者栈会先占用高地址的空间,然后占用低地址空间。目前我们可以大体上有个了解即可,后面我们在详细分析使用者栈的细节。
函式呼叫及汇编指令
为了理解函式呼叫栈的细节,有必要了解一下汇编程式中函式呼叫的实现。函式的呼叫主要分为2部分,一个是呼叫,另外一个是返回。在组合语言中函式呼叫是通过call指令完成的,返回则是通过ret指令。组合语言的call指令相当于执行了2步操作,分别是,1)将当前的IP或CS和IP压入栈中; 2)跳转,类似与jmp指令。同样,ret指令也分2步,分别是,1)将栈中的地址弹出到IP暂存器;2)跳转执行后续指令。这个基本上就是函式呼叫的原理。
除了在程式码间的跳动外,函式的呼叫往往还需要传递一个引数,而处理完成后还可能有返回值。这些资料的传递都是通过暂存器进行的。在函式呼叫之前通过上文介绍的暂存器储存引数,函式返回之前通过RAX暂存器(32位系统为EAX)储存返回结果。
另外一个比较重要的知识点是函式呼叫过程中与堆叠相关的暂存器RSP和RBP,两个暂存器主要实现对栈位置的记录,具体作用如下:
RSP:栈指标暂存器(reextended stack pointer),其内存放着一个指标,该指标永远指向系统栈最上面一个栈帧的栈顶。
RBP:基址指标暂存器(reextended base pointer),其内存放着一个指标,该指标永远指向系统栈最上面一个栈帧的底部。
暂存器的名称跟体系结构是相关的,本文是64位系统,因此暂存器是RSP和RBP。如果是32位系统则暂存器的名称为ESP和EBP。
应用程序呼叫栈
我们先从整体上来看一下函式呼叫栈的主要内容,如图4所示。在函式栈中主要包括函式引数表、区域性变量表、栈的基址和函式返回地址。这里栈的基址是上一个栈帧的基址,因为在本函式中需要使用该基址访问栈中的内容,因此需要首先将上一个栈帧中的基址压栈。
图4 函式呼叫栈概览
为了便于理解,我们以一个具体的程式作为示例。本程式非常简单,主要是模拟了多个函式的函式呼叫关系和引数传递。另外,在函式func_2中定义了2个形参,以模拟多引数传递的过程。
图5 函式栈汇编分析
在本示例中,main函式呼叫func_1函式。我们从main函式开始分析,可以先看一下右侧的C语言程式码。首先是函式引数的准备过程。在main函式呼叫func_1时依次传入的引数为1、2、3和4+g,其中最后一个引数是需要计算的。按照红色方框的虚线,我们可以看到对应的汇编程式,在汇编程式中首先处理最后一个引数,然后是倒数第二个,以此类推(函式引数的处理顺序在日常开发中是需要注意的内容重点)。同时,我们看到储存引数的暂存器名称与前文是一致。
当准备完引数之后,就是呼叫func_1函式,这个在组合语言中就是call func_1这一行。虽然只是一行汇编指令,但其实内部做了一些事情,这个我们在前文介绍call指令的时候有所介绍,大家可以参考一下前文。
之后就进入func_1函式的处理逻辑。最一开始是pushq %rbp汇编程式,这句指令的作用是将RBP压入函式栈中。这句压栈及后面的更新RBP的值(moveq %rsp, %rbp)是构建本函式的栈帧头,后续对本栈帧的内容的访问都是通过帧头(RBP)进行的。接下来是对引数压栈的过程和区域性变数初始化的过程,具体分布参考图5中的绿色方框和红色方框。
完成函式内的运算后,最后将运算结果放入暂存器EAX中,然后呼叫指令leave和ret。这里面需要说明的是leave指令,该指令相当于下面两条汇编指令。可以对比一下函式入口的汇编指令,其实两者是对称的。leave指令将本帧的栈基址赋值给栈指标(图6中步骤2),然后将其中的内容弹出到RBP中(图6中步骤3)。其实就是RBP指向上一个帧(呼叫者)的栈帧,也即是一个复原的过程。
movl %ebp %esp
popl %ebp
图6 函式返回示意图
这样,函式返回后暂存器RBP和RSP从被呼叫者的栈帧切换到了呼叫者的栈帧。
通过GDB分析函式呼叫栈
上面是通过反汇编的方式分析函式的呼叫栈和栈帧情况。我们还可以通过gdb动态的分析函式栈和栈帧的使用情况。我们依然通过main函式呼叫func_1函式为例来分析。我们这里在函式func_1的入口处设定一个单点,然后执行程式,程式停止在断点处。如图7是我们逐步执行是函式栈的变化过程,具体细节我们这里就不再赘述,大家可以实际操作一下。
图7 函式栈变化过程
本文的目的是让大家对函式呼叫栈有个整体的了解,这样对以后程式的疑难杂症就有更多的解决思路。因为在实际生产环境中与栈相关的问题也是比较多的,比如区域性变数太多导致的栈溢位,或者踩内存问题引起的栈破坏等等。因此,了解了函式栈的原理,在遇到所谓的莫名其妙问题的时候就会有新的思路。往往很多问题不是问题本身莫名其妙,而是我们的知识储备不够,自己感觉莫名其妙而已。
