P、数据库等等一系列知识

ebp和esp是如何对堆栈进行维护的mian函数栈帧如何创建2.1

push

寄存器我们了解过有eax、ebx、ecx、edx、ebp、esp等等

本节的重点是我们的ebp、esp这两个寄存器这两个寄存器中存放的是地址这两个地址是用来维护函数栈帧的

esp

Pointer)栈顶指针它指向当前栈帧中的栈顶位置。

每当一个新的函数被调用时esp会动态地更新以跟踪新参数的压入和局部变量的分配。

当函数执行完毕esp会回退到释放这些资源的位置。

ebp

Pointer)栈底指针又称为基指针它通常用于存储当前函数的帧信息比如函数的局部变量、参数和其他数据。

ebp在函数开始时被设置为栈顶减去函数头部所需的空间这样就可以作为访问栈中所有局部变量的基地址。

在函数调用过程中esp和ebp经常被用来进行帧布局的操作例如保存旧的esp值然后将新的esp指向新的函数参数而

ebp则保持不变作为固定不变的局部变量基址。

当函数返回时esp通常会恢复到原来的值释放栈帧而ebp也会回到正确的基址以便后续函数继续正确地访问局部变量。

具体调用为

程序在一开始运行时ebp以及esp是维护__tmainCRTStartup的函数栈帧的

2.1

我们将写的代码进行反汇编的操作看到程序底层的汇编代码可以看到第一步就是对于ebp的push操作

push

ebp从而esp指向新的栈顶用来作为新创建的局部变量的内存地址。

这样做有助于维护函数调用的上下文便于后续访问和管理局部变量、参数等。

也就是说将ebp此时的值存入栈中以便后面进行查找在此时就是__tmainCRTStartup的ebp值

此时的esp则往低地址走了几步现在指向的就是__tmainCRTStartup的ebp的地方了

2.1

esp。

这种操作经常发生在函数返回或异常处理时因为当函数结束时可能需要清空堆栈将esp回退到栈帧之前的状态以便为下一次函数调用腾出空间。

在清理过程中ebp

也就是ebp与esp都指向__tmainCRTStartup的ebp

2.2

0E4h是一个指令组合它代表从堆栈指针ESP通常用于跟踪函数调用时的局部变量和参数中减去0E4个字节16进制的0E4等于十进制的220。

这个操作常用于函数调用或内存分配可能是为了为新的局部变量分配空间或者调整堆栈布局。

具体来说

sub是subtract的缩写即减法操作。

esp是堆栈指针它指向栈顶减去一个数意味着将栈顶地址向下移动。

0E4h是一个16进制数转换成十进制就是220所以实际上是将栈顶的220个字节移除或压入栈中。

在执行完这个操作后

address有效地址加载的缩写它用于计算并存储一个内存地址到寄存器edi中。

在这个指令中

edi

operand目标操作数通常用于存放计算出的内存地址。

[ebpFFFFFF1Ch]

FFFFFF1Ch意味着从栈帧的当前位置向上偏移0xFFFFFF1Ch处的内存位置。

这条指令的作用是将栈上某个特定位置的地址赋值给edi这个位置通常是函数调用时为了后续操作需要而存储的数据地址。

在分析程序代码时这可能对应于函数的局部变量、参数或其他动态分配的数据结构的地址。

2.7

被设置为一个特定的值可能用于控制某种循环次数或者作为数组操作的下标。

mov

0CCCCCCCCh是一个特殊的值有时在某些情况下用于测试内存是否已初始化因为它几乎不会出现在正常的初始化中。

相当于代码

ediEAX的低16位是一个寄存器指向存储的起始位置es额外段寄存器指定数据段ptr表示是按字节偏移地址。

因此这整个指令组合的意思是

从edx寄存器开始重复执行存储操作每次将源操作数中的两个字节写入es段的当前指定位然后地址指针edi递增指向下一个存储位置直到所有数据都被写入。

也就是将ecx中39h个空间全部写入成eax的0CCCCCCCCh相当于给我们开辟的空间进行初始化

3.1

将b的值放入eax中再将eax压栈放入栈中将a的值放入ecx中再将ecx压栈放入栈中call指令调用add函数call指令前面的地址为call指令的下一条地址

跳到add函数准备栈帧并执行add函数