平衡堆栈
理解并观测函数调用母函数做什么,子函数做什么
cdecl调用约定
#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
int __cdecl method(int x, int y)
{
return x + y;
}
int main()
{
__asm mov eax, eax; // 此处设置断点
method(1, 2);
return 0;
}
可以看出__cdecl就是C语言默认的调用约定。
二、_stdcall调用约定
#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
int __stdcall method(int x, int y)
{
return x + y;
}
int main()
{
__asm mov eax, eax; // 此处设置断点
method(1, 2);
return 0;
}
和__cdecl一样都是从右往左入栈参数,不过该调用约定使用的平栈方式是内平栈,从下图可以看到,这里已经看不到堆栈的处理了。
F11不断执行,直到进入call指令调用的method函数中:
平栈操作跑到函数内部了,__cdecl约定是调用者(main)函数进行平栈,而__stdcall约定是函数内部自身进行平栈。
三、_fastcall调用约定
这是一个比较特殊的调用约定,当函数参数为两个或者以下时,该约定的效率远远大于上面两种,当然随着参数越来越多,该约定与上面两种约定的差距逐渐缩小。
证明如下:
首先,我们使用__fastcall调用约定并传入两个参数。
#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
int __fastcall method(int x, int y)
{
return x + y;
}
int main()
{
__asm mov eax, eax; // 此处设置断点
method(1, 2);
return 0;
}
可以看出函数内部和外部都没有清理堆栈的操作。这也就是__fastcall效率高的原因。因为寄存器就是属于CPU的,然后堆栈是内存,使用CPU进行操作的效率肯定会大于使用内存,所以我们使用寄存器的效率肯定比push传参效率高很多。
那么为什么没有平栈操作呢?因为我们没有使用堆栈,我们只是用了寄存器,并没有使用堆栈操作。但是当我们传入更多的参数的时候就需要用到堆栈了,因为__fastcall他只给我们提供了两个寄存器ECX/EDX可以用来传参。
使用四个参数:
#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
int __fastcall method(int x, int y,int t,int u)
{
return x + y + t +u;
}
int main()
{
__asm mov eax, eax; // 此处设置断点
method(1, 2, 3, 4);
return 0;
}
F11进入函数内部查看:
通过四个参数的传递,证明了:
函数参数除了前两个参数使用寄存器、其他的依旧使用堆栈从右往左传参,并且是自身清理堆栈,不是调用者清理。
当参数越来越多的时候,__fastcall与其他调用约定的差距越来越小的原因是使用寄存器(CPU)的效率远远大于使用堆栈(内存),然而__fastcall约定也只能使用两个寄存器,当函数参数只有两个时,__fastcall可以完全使用寄存器进行函数传参,所以这个时候他和__cdecl和__stdcall的差距最大。随着参数越来越多,__fastcall依旧只能使用两个寄存器,这样一来参数越多,__fastcall使用内存的占比就越大,所以性能差距也就越来越小。
2.平衡堆栈的3种模式,谁释放参数空间
堆栈平衡是指在函数调用过程中,保证堆栈的栈顶指针(ESP)在函数返回前恢复到调用前的状态,以避免堆栈的混乱或溢出1。堆栈平衡的三种模式分别是:
外平栈:在函数外部使用 add esp, xx 指令来清理堆栈中的参数,其中 xx 是参数所占用的字节数。这种模式的优点是可以适应不同的调用约定,缺点是需要额外的指令来调整堆栈。
; 外平栈模式
push param3 ; 将参数3推入堆栈
push param2 ; 将参数2推入堆栈
push param1 ; 将参数1推入堆栈
call myFunction ; 调用函数
add esp, 12 ; 清理堆栈
myFunction:
push ebp ; 保存旧的基址
mov ebp, esp ; 设置新的基址
; 在函数内部使用 [ebp+xx] 来访问参数
; 在函数内部执行一些操作
pop ebp ; 恢复旧的基址
ret ; 返回
内平栈:在函数内部使用 ret xx 指令来返回并清理堆栈中的参数,其中 xx 是参数所占用的字节数。这种模式的优点是可以节省一条指令,缺点是需要函数的定义和调用都遵循相同的约定。
; 内平栈模式
push param3 ; 将参数3推入堆栈
push param2 ; 将参数2推入堆栈
push param1 ; 将参数1推入堆栈
call myFunction ; 调用函数
myFunction:
push ebp ; 保存旧的基址
mov ebp, esp ; 设置新的基址
; 在函数内部使用 [ebp+xx] 来访问参数
; 在函数内部执行一些操作
pop ebp ; 恢复旧的基址
ret 12 ; 返回并清理堆栈
平衡堆栈:在函数内部使用 push 和 pop 指令来平衡堆栈的变化,使得函数返回前堆栈的状态和调用前一致。这种模式的优点是可以保证堆栈的平衡,缺点是需要更多的指令来操作堆栈。
; 平衡堆栈模式
push param3 ; 将参数3推入堆栈
push param2 ; 将参数2推入堆栈
push param1 ; 将参数1推入堆栈
call myFunction ; 调用函数
myFunction:
push ebp ; 保存旧的基址
mov ebp, esp ; 设置新的基址
; 在函数内部使用 [ebp+xx] 来访问参数
; 在函数内部执行一些操作
; 在函数内部使用 pop 指令来平衡堆栈
pop ebp ; 恢复旧的基址
ret ; 返回
根据不同的模式,释放参数空间的责任也不同。在外平栈模式中,调用者负责释放参数空间;在内平栈模式中,被调用者负责释放参数空间;在平衡堆栈模式中,调用者和被调用者都不需要释放参数空间,因为堆栈已经平衡
3.debug模式下ebp寻址,release模式下esp寻址(工具Ida)
ebp寻址与esp寻址
源码:
#define _CRT_SECURE_NO_WARNINGS
// Function.cpp : Defines the entry point for the console application.
//
#include<stdio.h>
typedef void (*p)();
// ebp 与 esp访问
void InNumber()
{
// 局部变量定义
int nInt = 1;
scanf("%d", &nInt);
char cChar = 2;
scanf("%c", &cChar);
printf("%d %c\r\n", nInt, cChar);
}
// 两数交换
void AddNumber(int nOne)
{
nOne += 1;
printf("%d \r\n", nOne);
}
int GetAddr(int nNumber)
{
int nAddr = *(int*)(&nNumber - 1);
return nAddr;
}
struct tagTEST
{
int m_nOne;
int m_nTwo;
};
tagTEST RetStruct()
{
tagTEST testRet;
testRet.m_nOne = 1;
testRet.m_nTwo = 2;
return testRet;
}
void AsmStack()
{
__asm
{
push eax
pop eax
}
int nVar = 0;
scanf("%d", &nVar);
printf("AsmStack %\r\n", nVar);
}
void main()
{
AsmStack();
tagTEST test;
test = RetStruct();
int nAddr = GetAddr(1);
int nReload = (nAddr + *(int *)(nAddr - 4)) - (int)GetAddr;
int nNumber = 0;
scanf("%d", &nNumber);
AddNumber(nNumber);
InNumber();
}
main proc near ArgList=byte ptr -0Ch Arglist=byte ptr -5var_4=dword ptr -4argc=dword ptr 8argv=dword ptr echenvp=dword ptr10h push ebp mov ebp,esp sub esp,0ch mov eax, security_cookie xor eax,ebp mov [ebp var_4],eax push eax pop eax lea eax,[ebp ArgList] mov dword ptr [ebp ArgList],e push eax ;Arglist push offset aD ;"%d" call sub401050 push dword ptr [ebp ArgList]ArgList push offset Format"AsmStack %r\n" call sub401626 lea eax,[ebp ArgList] mov dword ptr [ebp ArgList],1 push eax ;Arglist push offset aD ;"%dn call sub401050 lea eax,[ebp Arglist] mov [ebp Arglist],2 push eax ;Arglist push offset ac ;"%c" call sub 401050 movsx eax,[ebp Arglist] push eax push dword ptr [ebp ArgList]ArgList push offset aDC ;"%d%c\r\n" call sub401826 mov ecx,[ebp var_4] add esp,2Ch xor ecx,ebp call sub_4010FE
在使用了esp寻址后,不必在每次进人函数后都调整栈底ebp,这样既减少了ebp的使用又省去了维护ebp的相关指令,因此可以有效提升程序的执行效率。但是,缺少了 ebp 就无法保存进入函数后的栈底指针,也就无法进行栈平衡检测。
在每次访向变量都需要计算,如果在函数执行过程中 esp 发生了改变,再次访问变量就需要重新计算偏移,这真是个令人头疼的问题。为了省去对偏移量的计算,方便分析,IDA在分析过程中事先将函数中的每个变量的偏移值计算出来,得出了一个固定偏移值,使用标号将其记录。IDA是采用负数作为偏移值,将其作为标号,参与变量寻址计算。