示例代碼說明

執(zhí)行主程序

初始狀態(tài)

執(zhí)行代碼前 5 句

準(zhǔn)備調(diào)用子程序

調(diào)用子程序

子程序

寄存器入棧保護(hù)

計(jì)算字符串長度

返回結(jié)果

寄存器出棧

返回指令ret

在任何一門編譯型語言中,棧操作都是非常重要的。

利用棧的后進(jìn)先出特性,可以很方便的解決一些棘手的問題,以至于 CPU 單獨(dú)分配了 push 和 pop 這兩個(gè)命令來專門操作棧,當(dāng)然了,還有其他一些輔助的棧操作指令。

對于一些解釋型的腳本語言,比如:Javascript、Lua 等,它們與宿主語言之間的參數(shù)傳遞也都是通過棧來操作的。

因此,理解了棧操作的基本原理,對于學(xué)習(xí)、理解高級語言是非常有幫助的。

這篇文章,我們繼續(xù)從最底層的指令碼入手,通過一個(gè)子程序調(diào)用(即:函數(shù)調(diào)用),來學(xué)習(xí)�？臻g是如何操作的,也就是下面這張圖:

示例雖然是匯編代碼,但是指令碼一共不超過10個(gè),而且每一句都有注釋,相信你閱讀一定沒有問題!

再次重申:我們不是在學(xué)習(xí)匯編語言,只是利用匯編代碼,去繁存簡,用最簡單的實(shí)例來理解棧的操作。

示例代碼說明

代碼的功能是:

主程序:設(shè)置數(shù)據(jù)段、棧段、棧頂這 3 個(gè)寄存器,然后調(diào)用子程序(函數(shù)調(diào)用);

子程序:從寄存器 si 中獲取字符串開始地址,然后計(jì)算字符串的長度,最后通過寄存器 ax 返回給主程序;

主程序在調(diào)用子程序的時(shí)候,就涉及到返回地址的入棧、出棧操作。

子程序在計(jì)算字符串長度的時(shí)候,為了保護(hù)一些使用到的寄存器不被破壞,也涉及到入棧和出棧操作。

我們的主要目標(biāo)就是來研究以上這2部分操作時(shí),�？臻g里的數(shù)據(jù)變化情況。

執(zhí)行主程序

以下演示的截圖,是通過debug．exe這個(gè)工具來調(diào)試的。

在調(diào)試的過程中,主要關(guān)心的就是�？臻g中的數(shù)據(jù),以及幾個(gè)寄存器的值:

代碼相關(guān):cs, ip
棧相關(guān):ss, sp

初始狀態(tài)

在執(zhí)行第一條指令之前,首先看一下所有寄存器中的值:

此時(shí),我們還沒有為數(shù)據(jù)段寄存器 ds、棧段寄存器ss賦值,因此里面的值是沒有意義的。

只有 cs:ip 寄存器的值是有意義的,此時(shí)它們?yōu)?076F:0000,指向第一條代碼處。

再來看一下指令碼:

兩個(gè)綠框內(nèi)的指令,就是用來設(shè)置數(shù)據(jù)段寄存器 ds、棧段寄存器 ss 和 棧頂寄存器 sp。

這部分內(nèi)容在上一篇文章中都已經(jīng)詳細(xì)描述過了,這里就不重復(fù)了。

執(zhí)行代碼前 5 句mov ax, data
mov ds, ax
mov ax, stack
mov ss, ax
mov sp, 20h

這 5 行代碼的功能就是:設(shè)置 ds、 ss 和 sp。

執(zhí)行完這 5 行代碼后,寄存器中的值為:

從以上這張圖中可以看到編譯器為程序安排了下面這幾個(gè)地址:

把【數(shù)據(jù)段】安排在 076C:0000 位置;
把【棧段】  安排在 076D:0000 位置;
把【代碼段】安排在 076F:0000 的位置;

雖然數(shù)據(jù)段值定義了 6 個(gè)字節(jié)的數(shù)據(jù)( 5 個(gè)字符 + 1 個(gè)結(jié)束符),但是它與棧段的開始地址之間,預(yù)留了 16 個(gè)字節(jié)的空間。

我們把此時(shí)內(nèi)存空間的整體布局畫一下:

準(zhǔn)備調(diào)用子程序

我們都知道,在調(diào)用函數(shù)的之后,需要把調(diào)用指令后面的那條指令的地址,壓入到棧中。

只有這樣,被調(diào)用函數(shù)在執(zhí)行結(jié)束之后,才能繼續(xù)返回到正確的指令處繼續(xù)執(zhí)行。

CPU 在執(zhí)行 call 指令的時(shí)候,會(huì)自動(dòng)把 call 指令的后面一條指令的地址,壓入到棧中。

在執(zhí)行 call 指令之前,我們先來看一下 2 張圖片。

(1)call 的指令碼和匯編代碼

call 的匯編代碼是:call 0018。

0018 指的是指令寄存器 ip 的值,加上代碼段寄存器 cs,就是:076F:0018,這個(gè)位置處存儲(chǔ)的就是子程序的第一條指令:push bx。

注意:call 的指令碼是 E80500,E8 是 call 指令的操作碼,0005 是指令參數(shù)(注意:低字節(jié)是放在低地址,即:小端模式)。

之前文章說過,CPU 在執(zhí)行一條指令后,會(huì)自動(dòng)把指令寄存器 ip 修改為下一條指令的地址。

當(dāng) call 這條指令執(zhí)行時(shí),ip 就自動(dòng)變成下一條指令的地址,再加上 call 指令中的 0005,也就是說讓 ip 再加上這個(gè)值,就是子程序的第一條指令的地址。

這也是相對地址的概念!在以后介紹到重定位的時(shí)候,再繼續(xù)聊這個(gè)話題。

(2) �？臻g的數(shù)據(jù)

此時(shí),棧頂寄存器 sp 的值為 0020,即:棧的最高地址的下一個(gè)位置(為什么是這個(gè)位置?上一篇文章有說明)。

這 32 個(gè)字節(jié)的內(nèi)容是沒有任何意義的。

因?yàn)闂＠飻?shù)據(jù)是否有意義,是依賴于 sp 寄存器的,可以把它理解成一個(gè)指針,有些書籍中稱呼它為:棧頂指針。

調(diào)用子程序

子程序的功能是計(jì)算字符串的長度,那么主程序一定要告訴子程序:字符串的開始地址在哪里。

在代碼的開頭,我們放置了 6 個(gè)字節(jié)的數(shù)據(jù)段空間,內(nèi)容是 5 個(gè)字符,加上一個(gè) 0。

主程序把第一個(gè)字符的地址 0,通過寄存器 si 來告訴子程序:mov si, 0。

子程序在執(zhí)行時(shí),就從 si 的值所代表的地址處,依次取出每一個(gè)字符。

現(xiàn)在我們開始執(zhí)行 call 指令。

從上面的描述中可以知道:call 的下一條指令的地址(076F:0013),將會(huì)被壓入到棧中。

由于這里 call 指令是段內(nèi)跳轉(zhuǎn),不會(huì)把 cs 的值入棧,僅僅是把 ip 的值入棧。(如果是段間跳轉(zhuǎn)的話,就會(huì)把 cs:ip 都壓棧)

我們來看一下執(zhí)行 call 指令之后的兩張圖:

(1) 寄存器的值

從圖中看出 sp 的值變成了 001E。還記得之前文章說的入棧操作嗎?

Step1:sp = sp -2。由于 sp 的初值是 0020,減去 2 之后就是 001E(都是十六進(jìn)制);

Step2:把要入棧的值(也就是下一條指令的地址 0013)放在 sp 指向的地址處。

從圖中還可以看到,指令寄存器 ip 的值變成了 0018,也就是子程序的第 1 條指令(push bx)的地址。

(2)�？臻g的數(shù)據(jù)

可以看到:最后 2 個(gè)字節(jié)是 0013,也即是下面的這樣:

此時(shí),指令寄存器 ip 指向了子程序的第一條指令 076F:0018 處,那就繼續(xù)執(zhí)行吧!

子程序 保護(hù)使用到的寄存器

我們知道:CPU 中寄存器都是公用的。

在子程序中,為了計(jì)算字符串的長度,代碼中用到了bx, cx 這 2 個(gè)寄存器。

但是我們不知道這 2 個(gè)寄存器是否在主程序中也被使用了。

如果我們冒然直接使用它們,改變了它們的值,那么在子程序執(zhí)行結(jié)束后,返回到主程序時(shí),主程序如果也用了這 2 個(gè)寄存器,那就有麻煩了。

因此,在子程序的開始處,需要把 bx, cx 放在在棧中進(jìn)行暫存保護(hù)。

當(dāng)子程序返回的時(shí)候,再從棧中恢復(fù)它們的值,這樣就不會(huì)對主程序構(gòu)成潛在的威脅了。

1． push bx

在入棧之前,bx 的值是 0000,我們給他入棧。

還記得上篇文章中入棧的操作嗎:

Step1: 把 sp 的值減 2;
Step2: 把要入棧的值放在 sp 地址處(2個(gè)字節(jié));

此時(shí),棧頂寄存器 sp 變成 001C (001E - 2)。

再來看一下�？臻g的數(shù)據(jù)情況:

此刻,棧中有意義的數(shù)據(jù)就有 2 個(gè):返回地址,bx 的值。

2． push cx

在入棧之前,cx 的值是 005C,我們給他入棧。

執(zhí)行入棧的 2 步操作之后,棧頂寄存器 sp 變成 001A (001C - 2)。

�？臻g的數(shù)據(jù)情況:

3． 計(jì)算字符串的長度

字符串是放在數(shù)據(jù)段中的。數(shù)據(jù)段的段地址 ds,在主程序的開頭已經(jīng)設(shè)置好了。

字符串的首地址,主程序在執(zhí)行 call 指令之前,已經(jīng)放在寄存器 si 中了。

因此,子程序只要從 si 開始位置,依次取出每一個(gè)字符,然后檢查它是否等于 0 (jcxz)。

如果不為0,就把長度值加 1 (inc bx),然后繼續(xù)取下一個(gè)字符(inc si);

如果為0,就停止獲取字符,因?yàn)橐呀?jīng)遇到了字符串末尾的 0。

在循環(huán)獲取每一個(gè)字符的時(shí)候,可以用 bx 寄存器來記錄長度,所以在子程序的開頭要讓 bx 入棧。

讀取的每個(gè)字符,放在 cx 寄存器中,所以在子程序的開頭要讓 cx 入棧。

我們來看一下檢查第一個(gè)字符 'a' 的情況:

此時(shí):

bx 的值為 0001,說明長度至少為 1。

si 的值為 0001,準(zhǔn)備取下一個(gè)位置 ds:si(即:076C:0001)處的字符 ‘b’。

這個(gè)過程一直循環(huán) 6 次(loop s),當(dāng) ds:si 指向 076C:0005,也就是取出的字符為 0 時(shí),就直接跳轉(zhuǎn)到標(biāo)號(hào)為 over (即:076F:0027)的地址處。

此刻,寄存器 bx 中就存放著字符串的長度:0005:

4． 把字符串長度告訴主程序

字符串的長度計(jì)算出來了,我們要把這個(gè)值告訴主程序,一般都是通過通用寄存器 ax 來傳遞返回結(jié)果。

所以,執(zhí)行指令 mov ax, bx 把 bx 的值賦值給 ax,主程序就可以從寄存器 ax 中得到字符串的長度了。

5． pop cx

子程序在返回之前,需要把棧中保存的 bx、cx 值恢復(fù)到寄存器中。

另外,由于棧的后進(jìn)先出特性,需要把棧頂數(shù)據(jù)先彈出到 cx 寄存器中。

在執(zhí)行出棧之前:

sp = 001A
cx = 0000

棧中的數(shù)據(jù)情況如下:

pop cx 指令分為 2 個(gè)動(dòng)作:

Step1:把 sp 指向的地址單元的中數(shù)據(jù)( 2 個(gè)字節(jié)),放入寄存器 cx 中,于是 cx 中的值變成了:005C;

Step2:把 sp 的值自增 2,變成 001C (001A + 2)。

此時(shí),棧中的數(shù)據(jù)情況:

6． pop bx

執(zhí)行過程是一樣的:

Step1:把 sp 指向的地址單元的中數(shù)據(jù)( 2 個(gè)字節(jié)),放入寄存器 bx 中,于是 bx 中的值變成了:0000;

Step2:把 sp 的值自增 2,變成 001E (001C + 2)。

此時(shí),棧中的數(shù)據(jù)情況:

7． 返回指令 ret

CPU 在執(zhí)行 ret 指令時(shí),也有 2 個(gè)動(dòng)作:

Step1:把 sp 指向的地址單元的中數(shù)據(jù)( 2 個(gè)字節(jié)),放入指令寄存器 ip 中,于是 ip 中的值變成了:0013;

Step2:把 sp 的值自增 2,變成 0020 (001E + 2)。

此時(shí),棧中的數(shù)據(jù)情況是:

這時(shí),棧頂寄存器 sp 已經(jīng)指到了代碼段的空間中。這是由于我們在剛開始安排的時(shí)候,沒有在棧與代碼之間,空出來一段緩沖空間。

不管怎樣,此時(shí):

�？臻g中沒有任何有意義的數(shù)據(jù)了;
cs:ip 指向了主程序中 call 指令的下一條指令(mov ax,4c00h);

所以,當(dāng) CPU 執(zhí)行下一條指令的時(shí)候,又回到了主程序中繼續(xù)執(zhí)行。。。