有一天,被同事問到了下面這段代碼,就簡單分析了一下,發覺還有點意思:
__declspec(naked)
void call(void* pfn, 
)
{
__asm
{
pop eax;
add eax, 3;
xchg dword ptr[esp], eax;
push eax;
ret;
}
}
再看它的用法:
void print_str( const char *s )
{
printf( "%s\n", s );
}
call( print_str, "a string" );
call函數的大致作用,就是調用傳遞進去的函數print_str,并將參數"a string"傳遞給目標
函數。
但是它是怎么做到的呢?雖然call只有簡單的幾句匯編代碼,但是卻包含了很多函數在編譯
器中的匯編層實現。要了解這段代碼的意思,需要知道如下相關知識:
0、函數調用的實現中,編譯器通過系統堆棧(ESP寄存器指向)傳遞參數;
1、C語言默認的函數調用規則(_cdecl)中,調用者從右往左將參數壓入堆棧,并且調用者負
責堆棧平衡,也就是保證調用函數的前后,ESP不變;
2、匯編指令call本質上是先將返回地址,通常是該條指令的下一條指令壓入堆棧,然后直
接跳轉到目標位置;
3、匯編指令ret則是先從堆棧棧頂取出返回地址,然后跳轉過去;
4、匯編指令add加上其操作數,貌似占3個字節長度;
5、在visual studio中,DEBUG模式下編譯器會在我們的代碼中插入各種檢測代碼,而
__declspec(naked)則是告訴編譯器:別往這里添加代碼。
了解了以上常識后,再看這段代碼,其本質無非就是利用了這些規則,在代碼段跳來跳去。
我們來逐步分析一下:
在調用call函數的地方,大概的代碼為:
caller:
// 堆棧狀態,從左往右分別表示棧頂至下
// ret_addr是call后的地址,即add esp, 8的位置
// a1, a2表示函數參數,callee_addr是這里的print_str
// stack: ret_addr, callee_addr, a1, a2,
call( print_str, "a string" );
add esp, 8 //清除參數傳遞所占用的堆棧空間,維持堆棧平衡
end_label //位于add后的指令,后面會提到
call:
// 此時堆棧stack: ret_addr, a1, a2
pop eax // eax = ret_addr; stack: callee_addr, a1, a2,
add eax, 3 // eax = end_label; stack: callee_addr, a1, a2,
xchg dword ptr[esp], eax // eax = callee_addr; stack: end_label, a1, a2,
push eax // stack: callee_addr, end_label, a1, a2,
ret // 取出callee_addr并跳轉,也就跳轉到print_str函數的入口,此時堆棧
// stack: end_label, a1, a2,
callee(print_str):
無視函數內容
ret // print_str返回,此時正常情況下,堆棧stack: end_label, a1, a2,
// 取出end_label并跳轉,stack: a1, a2,
那么當callee結束時,則跳轉回caller函數中。不過,如過你所見,此時堆棧中還保留著再
調用call函數時傳入的參數:stack: a1, a2, ...,所以,DEBUG模式下,VS就會提示你堆
棧不平衡。這里簡單的處理就是手動來進行堆棧平衡:
call( print_str, "a string" );
__asm
{
add esp, 4;
}
傳入了多少個參數,就得相應地改變esp的值。
話說距離上篇博客都有半年了,自己都不知道時間晃得如此之快。最近業余折騰了下android開發,
一不小心就跨年了。