学习拆解

Question

为了了解底层发生的事情，我正在编写小型 C 程序，然后将其反转，并尝试了解其 objdump 输出。

C 程序是：

#include <stdio.h>

int function(int a, int b, int c) {
    printf("%d, %d, %d\n", a,b,c);
}

int main() {
    int a;
    int *ptr;

    asm("nop");
    function(1,2,3);
}

函数的 objdump 输出给了我以下信息。

080483a4 <function>:
 80483a4:   55                      push   ebp
 80483a5:   89 e5                   mov    ebp,esp
 80483a7:   83 ec 08                sub    esp,0x8
 80483aa:   ff 75 10                push   DWORD PTR [ebp+16]
 80483ad:   ff 75 0c                push   DWORD PTR [ebp+12]
 80483b0:   ff 75 08                push   DWORD PTR [ebp+8]
 80483b3:   68 04 85 04 08          push   0x8048504
 80483b8:   e8 fb fe ff ff          call   80482b8 <printf@plt>
 80483bd:   83 c4 10                add    esp,0x10
 80483c0:   c9                      leave  

请注意，在调用 printf 之前，三个偏移量为 8、16、12 的 DWORD（它们必须是 function 的参数以相反的顺序）被压入堆栈。稍后将推送一个十六进制地址，该地址必须是格式字符串的地址。

My doubt is

1. 与其直接将 3 个 DWORDS 和格式说明符压入堆栈，我希望看到 esp 被手动递减，然后值被压入堆栈。如何解释这种行为？

Answer 1

嗯，有些机器的堆栈指针有点像任何其他寄存器，所以你压入东西的方式是，是的，减量后存储。

但有些机器，例如 x86_32/64 有一个执行宏操作的 push 指令：递减指针 并 执行商店。

宏操作，顺便说一句，有一段有趣的历史。有时，某些机器上的某些示例比使用简单指令执行基本操作要慢。

我怀疑今天是否经常出现这种情况。现代 x86 非常复杂。 CPU会将您的操作码本身分解为微操作，然后将其存储在缓存中。微操作有特定的管道和时隙要求，最终结果是现在 x86 内部有一个 RISC cpu，整个事情进展得非常快并且具有良好的架构层代码密度.

Answer 2

使用push 指令调整堆栈指针。所以它被复制到ebp 并且参数被推入堆栈，因此它们分别存在于两个位置：function 的堆栈和printf 的堆栈。 pushes 影响esp，因此ebp 被复制。

Answer 3

没有mov [esp+x], [ebp+y]指令，操作数太多。它需要两条指令并使用一个寄存器。 Push 在一条指令中完成。

Answer 4

这是 x86 机器的标准 cdecl 调用约定。有几种不同类型的调用约定。您可以在 Wikipedia 中阅读以下有关它的文章：

http://en.wikipedia.org/wiki/X86_calling_conventions

它解释了基本原理。

Answer 5

你提出了一个有趣的观点，我认为到目前为止还没有直接解决。我想您已经看到了如下所示的汇编代码：

sub esp, X
...
mov [ebp+Y], eax
call Z

这种反汇编是由某些编译器生成的。它所做的是扩展堆栈，然后将新空间的值分配为eax（希望到那时已经填充了一些有意义的东西）。这实际上相当于push 助记符的作用。我无法回答为什么某些编译器会生成此代码，但我的猜测是，在某些时候这样做会被认为更有效。

Answer 6

在您努力学习汇编语言和反汇编二进制文件的过程中，您可能会发现 ODA 很有用。它是一个基于 Web 的反汇编程序，可以方便地反汇编许多不同的架构，而无需为每个架构构建 binutil 的 objdump。

http://onlinedisassembler.com/