当前位置：首页 > 编程日记 > 正文

汇编语言系统调用过程

编程日记 2024-12-01 22:40:00

以printf为例，详细解析一个简单的printf调用里头，系统究竟做了什么，各寄存器究竟如何变化。

如何在汇编调用glibc的函数？其实也很简单，根据c convention call的规则，参数反向压栈，call，然后结果保存在eax里头。注意，保存的是地址。

在汇编里头，一切皆地址。

当我们调用 result = printf( "%d %d", 12, a )的时候，编译器默认是这样处理的（除非函数定义声明了pascal call）。

在栈里头，先一次push a的地址，还有12这个立即数，再push "%d %d"这个字符串的地址，内存模型如下，x86的esp是往下增长的。

（这里是buttom，往下增长的是top）

address of "%d %d"

-------------------------------------------(esp 指着这里，我们假设地址是4字节，12这个数也是4字节)

当call printf的时候，首先，push当前的eip入esp，解析esp+4所指的"%d %d"，因为%d这样的特定字符都定义了后面每个参数的大小，所以只要解析“%d %d”，我们就可以知道栈里头参数的情况，例如esp+4+4就是一个int，esp+4+4+4是另外一个int。

当返回的时候，先pop到eip，也就是把eip还原到call之后马上要执行的机器码，这时，esp就指着“%d %d”，esp+4指着12，esp+8指着a的地址。esp里头的内容怎么处理，看需要吧，你也可以pop出来，也可以不pop。但为了效率着想，如果空间够用，通常不pop，直接用mov指令把下一次要用的参数move进去。返回指储存在eax里头。

这也一定程度上解释了为什么c convention call是反向压栈，这样编译器处理起来方便，特别对于这些va_list，因为va_list后面不能继续跟参数，va_list一定出现在函数的末尾，如果是对printf这类的函数使用pascal call，也就是参数正向压栈，汇编级别处理起来就特别麻烦了。

下面就用汇编语言写一个调用printf，并用gdb跟踪寄存器。

代码test_printf.s

.section .data            
format: .asciz "%d\n" 
.section .text    
.global _start    
_start:            
pushl $12            
pushl $format         
call printf         
movl $0, (%esp)            
call exit

编译

#as -g test_printf.s -o test_printf.o

链接

#ld -lc -I /lib/ld-linux.so.2 test_printf.o -o test_printf

-g是要加入调试信息

ld的-lc是链接libc.a，-I是--dynamic-linker，/lib/ld-linux.so.2

运行

#./test_printf

输出12

调试

用objdump看看test_printf里头的.text section，注意Disassembly of section .text

使用gdb跟踪，看看上述是否正确

#gdb test_printf

设置断点到_start

(gdb) break _start

(gdb) run

执行，遇到断点，停下，eip指着第6行，也就是第一条要执行的push指令

(gdb) info reg

察看寄存器状况

(gdb) s

执行一步，eip指着下一条指令地址

(gdb) info reg

esp 0xbffff6cc 0xbffff6cc

6cc = 6d0 - 4，对比上一条的esp，小了4，也就是stack增长了4个字节

(gdb) s

(gdb) info reg

esp 0xbffff6c8 0xbffff6c8

6c8 = 6cc - 4，对比上一条的esp，小了4，也就是stack增长了4个字节

(gdb) s

in printf () from /lib/libc.so.6

执行一步，正式进入printf

(gdb) info reg

esp 0xbffff6c4 0xbffff6c4

6c4=6c8-4 新push进去4个字节

(gdb) x /1x $esp
0xbffff6c4: 0x080481c4

esp的栈顶保存的是下一条要执行的代码的位置，movl的位置，（参考上面objdump的结果）

可以使用bt查看栈帧，下面对比栈变化

(gdb) s

printf出12，已经执行完毕

(gdb) info reg

eax保存着这次printf的返回值，也就是被打印的字符数量，12\n，一共3个字符。

esp恢复到call printf之前的状态

恢复eip

(gdb) s

执行movl指令，下一条是call exit

(gdb) x /1x $esp

esp并没有增长，因为printf之前的数据已经没用了，我没有把他们pop出来，而是直接用新的数据刷写esp所指的内存。

(gdb) s
(gdb) s

正常退出

关于EIP、ESP、EBP寄存器

1.EIP寄存器里存储的是CPU下次要执行的指令的地址。

也就是调用完fun函数后，让CPU知道应该执行main函数中的printf（"函数调用结束"）语句了。

2.EBP寄存器里存储的是是栈的栈底指针，通常叫栈基址，这个是一开始进行fun()函数调用之前，由ESP传递给EBP的。（在函数调用前你可以这么理解：ESP存储的是栈顶地址，也是栈底地址。）

3.ESP寄存器里存储的是在调用函数fun()之后，栈的栈顶。并且始终指向栈顶。

堆栈是一种简单的数据结构，是一种只允许在其一端进行插入或删除的线性表。
允许插入或删除操作的一端称为栈顶，另一端称为栈底，对堆栈的插入和删除操作被称入栈和出栈。

有一组CPU指令可以实现对进程的内存实现堆栈访问。其中，POP指令实现出栈操作，PUSH指令实现入栈操作。
CPU的ESP寄存器存放当前线程的栈顶指针，
EBP寄存器中保存当前线程的栈底指针。
CPU的EIP寄存器存放下一个CPU指令存放的内存地址，当CPU执行完当前的指令后，从EIP寄存器中读取下一条指令的内存地址，然后继续执行。

参考：http://blog.csdn.net/feng_zh/article/details/7075986

https://www.dkcj.cn/info/29978.html

汇编语言系统调用过程

相关文章：

switch语句中在case块里声明变量会遇到提示“Expected expression before...的问题

帮AI体检看病一条龙服务，阿里发布“AI安全诊断大师”

Spring学习总结（7）——applicationContext.xml 配置文详解

GDB查看栈信息

数据库学习之路

为什么铺天盖地都是Python的广告？

python3正则表达式符号和用法

从寄存器看I386和x64位中函数调用中参数传递

转：去掉Flex4生成的SWF加载时的进度条

饿了么交易系统5年演化史

Python迁移MySQL数据到MongoDB脚本

使用valgrind分析C程序调用线路图

纯CSS实现蓝色圆角下拉菜单

生产型机器学习已经没那么困难了？

poj1330Nearest Common Ancestors 1470 Closest Common Ancestors（LCA算法）

干货 | 时间序列预测类问题下的建模方案探索实践

Redis安装与源码调试

system pause in C#

C#设置当前程序通过IE代理服务器上网

计算机科学精彩帖子收集

挑战王者荣耀“绝悟” AI，我输了！

java 注解类说明

《ArcGIS Runtime SDK for Android开发笔记》——（13）、图层扩展方式加载Google地图...

调试JDK源码-一步一步看HashMap怎么Hash和扩容

开源一年，阿里轻量级AI推理引擎MNN 1.0.0正式发布

人生在成败中进步

【原】YUI压缩与CSS media queries下的bug

Spring源码分析【4】-Spring扫描basePackages注解

c语言c++语言中静态变量，函数详解

深度解析MegEngine亚线性显存优化技术