函数调用中传递了多少个参数？

Question

我希望分析调用函数的汇编代码，并为每个“调用”找出传递给函数的参数数量。我假设我无法访问目标函数，而只能访问调用代码。 我将自己限制为仅使用 GCC 编译的代码，以及 System V ABI 调用约定。 我尝试从每条“调用”指令中扫描回来，但我没有找到足够好的约定（例如，在哪里停止扫描？使用相同参数的两个后续调用会发生什么？）。非常感谢您的帮助。

Answer 1

转发我的 cmets 作为答案。

您无法在优化的代码中可靠地分辨出来。而且即使大部分时间做得好，也可能需要人类级别的人工智能。例如函数是否在 RSI 中留下了一个值，因为它是第二个参数，或者它只是在计算 RDI 的值（第一个参数）时将 RSI 用作临时寄存器？正如 Ross 所说，gcc 生成的堆栈参数调用约定代码具有更明显的模式，但仍然不容易检测到。

还可能很难区分将本地变量溢出到堆栈的存储与将 args 存储到堆栈的存储之间的区别（因为 gcc 有时可以并且确实使用 mov 存储堆栈参数：请参阅 -maccumulate-outgoing-args） .区分的一种方法是稍后将重新加载本地变量，但始终假定 args 已被破坏。

使用相同参数的两个后续调用会发生什么？

编译器总是在进行另一个调用之前重写 args，因为他们假设函数会破坏它们的 args（甚至在堆栈上）。 ABI 说函数“拥有”它们的参数。编译器确实会生成执行此操作的代码（请参阅 cmets），但编译器生成的代码并不总是愿意重新使用保存其 args 的堆栈内存来存储完全不同的 args 以启用尾调用优化。 :( 这是手摇，因为我不记得我所看到的错过尾调用优化机会的确切内容。

---

然而，如果参数是通过堆栈传递的，那么它可能是更简单的情况（我得出结论，所有 6 个寄存器也都被使用了）。

即使这样也不可靠。 System V x86-64 ABI 并不简单。

int foo(int, big_struct, int) 将在 regs 中传递两个整数参数，但在堆栈上按值传递大结构。 FP args 也是一个主要的并发症。你不能断定看到堆栈上的东西意味着所有 6 个整数 arg 传递槽都被使用了。

Windows x64 ABI 明显不同：例如，如果第二个参数（如果需要，在添加隐藏的返回值指针之后）是整数/指针，它总是进入 RDX，不管第一个参数是否进入 RCX ，XMM0，或在堆栈上。它还要求调用者离开“影子空间”。

---

因此，您可能会想出一些启发式方法，以便对未优化的代码正常工作。即使这样也很难做到。

对于由不同编译器生成的优化代码，我认为实现几乎有用的任何东西都比拥有它所节省的工作量要多。