看雪学院 4天前 本文为看雪论坛优秀文章 看雪论坛作者ID:有毒 一、x86_64寄存器 在分析函数调用时,必须要对CPU的寄存器熟悉。在所有的体系架构中,每个寄存器都有建议的使用方法,编译器在对代码进行编译时,也通常按照体系架构建议的寄存器的使用方法进行编译。 在x86_64体系架构中,总共有16个64位通用寄存器,各寄存器及用途如下所示: 对上图中的寄存器做简单说明:
(备注:用栈在进行参数传递时,即便参数<8字节,也要对齐放在8字节的空间中)
二、函数调用时的栈帧 >>>> 1. 函数调用 在对子函数进行调用时,栈帧情况如下: (注意此处栈帧增长方向从上到下)
以上过程由编译器自动完成。需要注意的是,父函数中进行参数压栈时,顺序为从右到左,但并不是固定,要看编译器的具体实现(gcc使用的是从右到左)。 >>>> 2. 函数返回 函数返回时,我们需要的数据是函数的返回值(%rax),然后将栈结构恢复到函数调用之前的状态,最后跳转到父函数的返回地址继续执行。需要执行以下两条指令:
为了便于栈帧恢复,x86_64 架构中提供了 leave 指令来实现上述两条命令的功能。执行 leave 后,前面图中函数调用的栈帧结构如下: 调用 leave 后,%rsp 指向返回地址;ret 指令,从栈顶弹出数据,并跳转到此数据指向的地址处。在leave 执行后,%rsp 指向返回地址,因而 ret 的作用就是把 %rsp 上移一个位置,并跳转到返回地址执行。 所以,leave 指令用于恢复父函数的栈帧,ret 用于跳转到返回地址处,leave 和ret 配合共同完成了子函数的返回。当执行完成 ret 后,%rsp 指向的是父栈帧的结尾处,父栈帧尾部存储的调用参数由编译器自动释放。 三、函数调用示例 程序源代码如下:
上面程序生成的和子函数调用相关的汇编程序如下:
首先看 main 函数的前三条汇编语句:
保存父函数栈帧,之后创建main 函数的栈帧并且分配了48 Byte 的空间。执行完成后,main 函数的栈帧如下图所示: 继续往后走,可以看到对k=i+j的处理过程:
需要注意的是,传统的栈空间的利用操作是使用一个栈空间,进行一次push操作。 但是我们的代码里没有这样进行,而是利用之前分配的48字节的空间,以空间的缩减进行分配,本质上是和push操作是一样的。最终的计算结果保存在%eax中。 后续进行add函数调用,add的返回值将会放在%eax中,当前%eax中保存的是k值。 所以需要首先保存%eax中的值,然后在add函数中进行调用,最后再恢复%eax的值。%eax 是 Caller Save的,所以由父函数main函数来进行保存(movl %eax,-12(%rbp))。 再往后,开始参数入栈,前6个参数依次保存到对应的寄存器中,最后两个参数从右到左压入栈中。 进入 add 函数后之后的操作如下:
首先创建新栈帧,然后进行参数入栈。 在参数入栈时,我们看到并未使用 push 之类的指令,也没有调整 %esp 指针的值,而是使用了 -N(%rbp) 这样的指令来使用新的栈空间。这种使用”基地址+偏移量“ 来使用栈的方式和直接使用 %esp 指向栈顶的方式其实是一样的。 当add函数返回后,返回结果存储在%eax 中,%rbp 和 %rsp 调整为指向 main 的栈帧,之后执行main 函数中的如下指令:
add 函数返回时,把返回值保存到了 %eax 中,使用完返回值后,会恢复 caller save 寄存器 %eax的值,这时main 栈帧恢复到调用add函数之前的状态。 需要注意的是,在调用 add 之前,main 中执行了一条 subq 48, %rsp 的指令,这主要是因为main函数并未再调用其他函数,结尾处的leave、ret两条指令直接覆盖了%rsp的值从而回到了父栈帧中。 如果先调整 main 栈帧的 %rsp 值,之后 leave 再覆盖 %rsp 的值,相当于调整是多余的。因而省略main 中 add返回之后的 %rsp 的调整,而使用 leave 直接覆盖%rsp更为合理。 之前对这一块不是很懂,看了大佬的文章后就明白了~ x86-64 下函数调用及栈帧原理一蓑一笠一扁舟,一丈丝纶一寸钩。 —— 题秋江独钓图 缘起在 C/C++ 程序中,函数调用是十分常见的操作。那么,这一操作的底层原理是怎样的?编译器帮我们做了哪些操作?CPU 中各寄存器及内存堆栈在函数调用时是如何被使用的?栈帧的创建和恢复是如何完成的?针对上述问题,本本文进行了探索和研究。 通用寄存器使用惯例函数调用时,在硬件层面我们需要关注的通常是cpu 的通用寄存器。在所有 cpu 体系架构中,每个寄存器通常都是有建议的使用方法的,而编译器也通常依照CPU架构的建议来使用这些寄存器,因而我们可以认为这些建议是强制性的。 对于 x86-64 架构,共有16个64位通用寄存器,各寄存器及用途如下图所示: 从上图中,我们可以得到如下结论:
这里还要区分一下 “Caller Save” 和 ”Callee Save” 寄存器,即寄存器的值是由”调用者保存“ 还是由 ”被调用者保存“。当产生函数调用时,子函数内通常也会使用到通用寄存器,那么这些寄存器中之前保存的调用者(父函数)的值就会被覆盖。为了避免数据覆盖而导致从子函数返回时寄存器中的数据不可恢复,CPU 体系结构中就规定了通用寄存器的保存方式。 如果一个寄存器被标识为”Caller Save”, 那么在进行子函数调用前,就需要由调用者提前保存好这些寄存器的值,保存方法通常是把寄存器的值压入堆栈中,调用者保存完成后,在被调用者(子函数)中就可以随意覆盖这些寄存器的值了。如果一个寄存被标识为“Callee Save”,那么在函数调用时,调用者就不必保存这些寄存器的值而直接进行子函数调用,进入子函数后,子函数在覆盖这些寄存器之前,需要先保存这些寄存器的值,即这些寄存器的值是由被调用者来保存和恢复的。 函数的调用子函数调用时,调用者与被调用者的栈帧结构如下图所示: 在子函数调用时,执行的操作有:父函数将调用参数从后向前压栈 -> 将返回地址压栈保存 -> 跳转到子函数起始地址执行 -> 子函数将父函数栈帧起始地址(%rpb) 压栈 -> 将 %rbp 的值设置为当前 %rsp 的值,即将 %rbp 指向子函数栈帧的起始地址。 上述过程中,保存返回地址和跳转到子函数处执行由 call 一条指令完成,在call 指令执行完成时,已经进入了子程序中,因而将上一栈帧%rbp 压栈的操作,需要由子程序来完成。函数调用时在汇编层面的指令序列如下:
保存返回地址和保存上一栈帧的%rbp 都是为了函数返回时,恢复父函数的栈帧结构。在使用高级语言进行函数调用时,由编译器自动完成上述整个流程。对于”Caller Save” 和 “Callee Save” 寄存器的保存和恢复,也都是由编译器自动完成的。 需要注意的是,父函数中进行参数压栈时,顺序是从后向前进行的。但是,这一行为并不是固定的,是依赖于编译器的具体实现的,在gcc 中,使用的是从后向前的压栈方式,这种方式便于支持类似于 printf(“%d, %d”, i, j) 这样的使用变长参数的函数调用。 函数的返回函数返回时,我们只需要得到函数的返回值(保存在 %rax 中),之后就需要将栈的结构恢复到函数调用之差的状态,并跳转到父函数的返回地址处继续执行。由于函数调用时已经保存了返回地址和父函数栈帧的起始地址,要恢复到子函数调用之前的父栈帧,我们只需要执行以下两条指令:
为了便于栈帧恢复,x86-64 架构中提供了 leave 指令来实现上述两条命令的功能。执行 leave 后,前面图中函数调用的栈帧结构如下: 可以看出,调用 leave 后,%rsp 指向的正好是返回地址,x86-64 提供的 ret 指令,其作用就是从当前 %rsp 指向的位置(即栈顶)弹出数据,并跳转到此数据代表的地址处,在leave 执行后,%rsp 指向的正好是返回地址,因而 ret 的作用就是把 %rsp 上移一个位置,并跳转到返回地址执行。可以看出,leave 指令用于恢复父函数的栈帧,ret 用于跳转到返回地址处,leave 和ret 配合共同完成了子函数的返回。当执行完成 ret 后,%rsp 指向的是父栈帧的结尾处,父栈帧尾部存储的调用参数由编译器自动释放。 函数调用示例为了更深入的了解函数调用原理,我们可以使用一个程序示例来观察函数的调用和返回。程序如下:
在main 函数中,首先进行了一个 k=i+j 的加法,这是为了观察 Caller Save 效果。因为加法会用到 %rax,而下面 add 函数的返回值也会使用 %rax。由于 %rax 是 Caller Save 寄存器,在调用 add 子函数之前,程序应该先保存 %rax 的值。 add 函数使用了 8 个参数,这是为了观察当函数参数多于6个时程序的行为,前6个参数会保存到寄存器中,多于6个的参数会保存到堆栈中。但是,由于在子程序中可能会取参数的地址,而保存在寄存器中的前6个参数是没有内存地址的,因而我们可以猜测,保存在寄存器中的前6个参数,在子程序中也会被压入到堆栈中,这样才能取到这6个参数的内存地址。上面程序生成的和子函数调用相关的汇编程序如下:
在汇编程序中,如果使用的是64位通用寄存器的低32位,则寄存器以 ”e“ 开头,比如 %eax,%ebx 等,对于 %r8-%r15,其低32 位是在64位寄存后加 “d” 来表示,比如 %r8d, %r15d。如果操作数是32 位的,则指令以 ”l“ 结尾,例如 movl $11, %esi,指令和寄存器都是32位的格式。如果操作数是64 位的,则指令以 q 结尾,例如 “movq %rsp, %rbp”。由于示例程序中的操作数全部在32位的表示范围内,因而上面的加法和移动指令全部是用的32位指令和操作数,只有在创建栈帧时为了地址对齐才使用的是64位指令及操作数。 首先看 main 函数的前三条汇编语句:
这三条语句保存了父函数的栈帧(注意main函数也有父函数),之后创建了main 函数的栈帧并且在栈帧中分配了48Byte 的空位,这三条语句执行完成后,main 函数的栈帧如下图所示: 之后,main 函数中就进行了 k=i+j 的加法和 add 参数的处理:
在进行 k=i+j 加法时,使用 main 栈空间的方式较为特别。并不是按照我们通常认为的每使用一个栈空间就会进行一次push 操作,而是使用之前预先分配的 48 个空位,并且用 -N(%rbp) 即从 %rbp 指向的位置向下计数的方式来使用空位的,本质上这和每次进行 push 操作是一样的,最后计算 i+j 得到的结果 k 保存在了 %eax 中。之后就需要准备调用 add 函数了。 我们知道,add 函数的返回值会保存在 %eax 中,即 %eax 一定会被子函数 add 覆盖,而现在 %eax 中保存的是 k 的值。在 C 程序中可以看到,在调用完成 add 后,我们又使用了 k 的值,因而在调用 add 中覆盖%eax 之前,需要保存 %eax 值,在add 使用完%eax 后,需要恢复 %eax 值(即k 的值),由于 %eax 是 Caller Save的,应该由父函数main来保存 %eax 的值,因而上面汇编中有一句 “movl %eax, -12(%rbp)” 就是在调用 add 函数之前来保存 %eax 的值的。 对于8个参数,可以看出,最后两个参数是从后向前压入了栈中,前6个参数全部保存到了对应的参数寄存器中,与本文开始描述的一致。 进入 add 之后的操作如下:
add 中最前面两条指令实现了新栈帧的创建。之后把在寄存器中的函数调用参数压入了栈中。在本文前面提到过,由于子程序中可能会用到参数的内存地址,这些参数放在寄存器中是无法取地址的,这里把参数压栈,正好印证了我们之前的猜想。 在参数压栈时,我们看到并未使用 push 之类的指令,也没有调整 %esp 指针的值,而是使用了 -N(%rbp) 这样的指令来使用新的栈空间。这种使用”基地址+偏移量“ 来使用栈的方式和直接使用 %esp 指向栈顶的方式其实是一样的。 这里有两个和编译器具体实现相关的问题:一是上面程序中,-8(%rbp) 和 -12(%rbp) 地址并未被使用到,这两个地址之前的地址 -4(%rbp) 和之后的 -16(%rsp) 都被使用到了,这可能是由于编译器具体的实现方式来决定的。另外一个就是如下两条指令:
先是把 %eax 的值赋值给的 -4(%rbp),之后又逆向赋值了一次,猜测可能是编译器为了通用性才如此操作的。以上两个问题需要后续进一步研究。 当add函数返回后,返回结果会存储在%eax 中,%rbp 和 %rsp 会调整为指向 main 的栈帧,之后会执行main 函数中的如下指令:
可以看出,当 add 函数返回时,把返回值保存到了 %eax 中,使用完返回值后,会恢复 caller save 寄存器 %eax的值,这时main 栈帧与调用 add 之前完全一样。 需要注意的是,在调用 add 之前,main 中执行了一条 subq 48, %rsp 这样的指令,原因就在于调用 add 之后,main 中并未调用其他函数,而是执行了两条赋值语句后就直接从main返回了。 main 结尾处的 leave、ret 两条指令会直接覆盖 %rsp 的值从而回到 main 的父栈帧中。如果先调整 main 栈帧的 %rsp 值,之后 leave 再覆盖 %rsp 的值,相当于调整是多余的。因而省略main 中 add返回之后的 %rsp 的调整,而使用 leave 直接覆盖%rsp更为合理。 结语本文从汇编层面介绍了X86-64 架构下函数调用时栈帧的切换原理,了解这些底层细节对于理解程序的运行情况是十分有益的。并且在当前许多程序中,为了实现程序的高效运行,都使用了汇编语言,在了解了函数栈帧切换原理后,对于理解这些汇编也是非常有帮助的。 在下一篇文章中,将会详细介绍 libco 库中用汇编语言实现的协程上下文的切换,本文可以作为理解协程上下文切换的基础。 The End. 我就是我,疾驰中的企鹅。 我就是我,不一样的焰火。 编辑于 2017-06-10 |
|