X86汇编语言学习Word文件下载.docx
《X86汇编语言学习Word文件下载.docx》由会员分享,可在线阅读,更多相关《X86汇编语言学习Word文件下载.docx(19页珍藏版)》请在冰点文库上搜索。
![X86汇编语言学习Word文件下载.docx](https://file1.bingdoc.com/fileroot1/2023-5/4/bf8d8f85-8efb-4c5d-92ce-6b93884bbaf9/bf8d8f85-8efb-4c5d-92ce-6b93884bbaf91.gif)
#filetest1
test1:
ELF32-bitLSBexecutable80386Version1,dynamicallylinked,notstripped
test1是一个ELF格式32位小端(LittleEndian)的可执行文件,动态链接并且符号表没有去除。
这正是Unix/Linux平台典型的可执行文件格式。
用mdb反汇编可以观察生成的汇编代码:
#mdbtest1
Loadingmodules:
[libc.so.1]
>
main:
:
dis
;
反汇编main函数,mdb的命令一般格式为
<
地址>
dis
pushl
%ebp
ebp寄存器内容压栈,即保存main函数的上级调用函数的栈基地址
main+1:
movl
%esp,%ebp
esp值赋给ebp,设置main函数的栈基址
main+3:
subl
$8,%esp
main+6:
andl
$0xf0,%esp
main+9:
$0,%eax
main+0xe:
%eax,%esp
main+0x10:
$0,%eax
设置函数返回值0
main+0x15:
leave
将ebp值赋给esp,pop先前栈内的上级函数栈的基地址给ebp,恢复原栈基址
main+0x16:
ret
main函数返回,回到上级调用
这里得到的汇编语言语法格式与Intel的手册有很大不同,Unix/Linux采用AT&
T汇编格式作为汇编语言的语法格式
如果想了解AT&
T汇编可以参考文章:
LinuxAT&
T汇编语言开发指南
问题:
谁调用了main函数?
在C语言的层面来看,main函数是一个程序的起始入口点,而实际上,ELF可执行文件的入口点并不是main而是_start。
mdb也可以反汇编_start:
_start:
从_start的地址开始反汇编
$0
_start+2:
_start+4:
%esp,%ebp
_start+6:
%edx
_start+7:
$0x80504b0,%eax
_start+0xc:
testl
%eax,%eax
_start+0xe:
je
+0xf
_start+0x1d>
_start+0x10:
$0x80504b0
_start+0x15:
call
-0x75
atexit>
_start+0x1a:
addl
$4,%esp
_start+0x1d:
$0x8060710,%eax
_start+0x22:
_start+0x24:
+7
_start+0x2b>
_start+0x26:
-0x86
_start+0x2b:
$0x80506cd
_start+0x30:
-0x90
_start+0x35:
+8(%ebp),%eax
_start+0x38:
leal
+0x10(%ebp,%eax,4),%edx
_start+0x3c:
%edx,0x8060804
_start+0x42:
_start+0x45:
_start+0x48:
_start+0x49:
+0xc(%ebp),%edx
_start+0x4c:
_start+0x4d:
%eax
_start+0x4e:
+0x152
_init>
_start+0x53:
-0xa3
__fpstart>
_start+0x58:
+0xfb
main>
在这里调用了main函数
_start+0x5d:
$0xc,%esp
_start+0x60:
_start+0x61:
-0xa1
exit>
_start+0x66:
_start+0x68:
$1,%eax
_start+0x6d:
lcall
$7,$0
_start+0x74:
hlt
为什么用EAX寄存器保存函数返回值?
实际上IA32并没有规定用哪个寄存器来保存返回值。
但如果反汇编Solaris/Linux的二进制文件,就会发现,都用EAX保存函数返回值。
这不是偶然现象,是操作系统的ABI(ApplicationBinaryInterface)来决定的。
Solaris/Linux操作系统的ABI就是SytemVABI。
概念:
SFP(StackFramePointer)栈框架指针
正确理解SFP必须了解:
IA32的栈的概念
CPU中32位寄存器ESP/EBP的作用
PUSH/POP指令是如何影响栈的
CALL/RET/LEAVE等指令是如何影响栈的
如我们所知:
1)IA32的栈是用来存放临时数据,而且是LIFO,即后进先出的。
栈的增长方向是从高地址向低地址增长,按字节为单位编址。
2)EBP是栈基址的指针,永远指向栈底(高地址),ESP是栈指针,永远指向栈顶(低地址)。
3)PUSH一个long型数据时,以字节为单位将数据压入栈,从高到低按字节依次将数据存入ESP-1、ESP-2、ESP-3、ESP-4的地址单元。
4)POP一个long型数据,过程与PUSH相反,依次将ESP-4、ESP-3、ESP-2、ESP-1从栈内弹出,放入一个32位寄存器。
5)CALL指令用来调用一个函数或过程,此时,下一条指令地址会被压入堆栈,以备返回时能恢复执行下条指令。
6)RET指令用来从一个函数或过程返回,之前CALL保存的下条指令地址会从栈内弹出到EIP寄存器中,程序转到CALL之前下条指令处执行
7)ENTER是建立当前函数的栈框架,即相当于以下两条指令:
%ebp
8)LEAVE是释放当前函数或者过程的栈框架,即相当于以下两条指令:
movlebpesp
popl
ebp
如果反汇编一个函数,很多时候会在函数进入和返回处,发现有类似如下形式的汇编语句:
esp值赋给ebp,设置main函数的栈基址
...........
以上两条指令相当于enter0,0
...........
这些语句就是用来创建和释放一个函数或者过程的栈框架的。
原来编译器会自动在函数入口和出口处插入创建和释放栈框架的语句。
函数被调用时:
1)EIP/EBP成为新函数栈的边界
函数被调用时,返回时的EIP首先被压入堆栈;
创建栈框架时,上级函数栈的EBP被压入堆栈,与EIP一道行成新函数栈框架的边界
2)EBP成为栈框架指针SFP,用来指示新函数栈的边界
栈框架建立后,EBP指向的栈的内容就是上一级函数栈的EBP,可以想象,通过EBP就可以把层层调用函数的栈都回朔遍历一遍,调试器就是利用这个特性实现backtrace功能的
3)ESP总是作为栈指针指向栈顶,用来分配栈空间
栈分配空间给函数局部变量时的语句通常就是给ESP减去一个常数值,例如,分配一个整型数据就是ESP-4
4)函数的参数传递和局部变量访问可以通过SFP即EBP来实现
由于栈框架指针永远指向当前函数的栈基地址,参数和局部变量访问通常为如下形式:
+8+xx(%ebp)
函数入口参数的的访问
-xx(%ebp)
函数局部变量访问
假如函数A调用函数B,函数B调用函数C,则函数栈框架及调用关系如下图所示:
[b:
771101bbb0]下图有点乱,因此删去部分内容,要看原图可参考我的blog[/b:
771101bbb0]
+----------------------------+---->
高地址
|EIP(上级函数返回地址)
|
+----------------------------+
|EBP(上级函数的EBP)
+----------------------------+
|LocalVariables
|..........
+-----------------------------+
|Argn(函数B的第n个参数)|
+-----------------------------+
|Arg.(函数B的第.个参数)
|Arg1(函数B的第1个参数)|
|Arg0(函数B的第0个参数)|
EIP(A函数的返回地址)
|
|EBP(A函数的EBP)
|Argn(函数C的第n个参数)|
|Arg.(函数C的第.个参数)
|Arg1(函数C的第1个参数)|
|Arg0(函数C的第0个参数)|
|EIP(B函数的返回地址)
|EBP(B函数的EBP)
+-----------------------------+--->
低地址
图1-1
再分析test1反汇编结果中剩余部分语句的含义:
反汇编main函数
创建StackFrame(栈框架)
$8,%esp
通过ESP-8来分配8字节堆栈空间
$0xf0,%esp
使栈地址16字节对齐
无意义
%eax,%esp
设置main函数返回值
撤销StackFrame(栈框架)
main函数返回
以下两句似乎是没有意义的,果真是这样吗?
用gcc的O2级优化来重新编译test1.c:
#gcc-O2test1.c-otest1
xorl
%eax,%eax
设置main返回值,使用xorl异或指令来使eax为0
main+0xb:
leave
main+0xc:
ret
新的反汇编结果比最初的结果要简洁一些,果然之前被认为无用的语句被优化掉了,进一步验证了之前的猜测。
提示:
编译器产生的某些语句可能在程序实际语义上没有用处,可以用优化选项去掉这些语句。
为什么用xorl来设置eax的值?
注意到优化后的代码中,eax返回值的设置由movl$0,%eax变为xorl%eax,%eax,这是因为IA32指令中,xorl比movl有更高的运行速度。
Stackaligned栈对齐
那么,以下语句到底是和作用呢?
通过andl使低4位为0,保证栈地址16字节对齐
表面来看,这条语句最直接的后果是使ESP的地址后4位为0,即16字节对齐,那么为什么这么做呢?
原来,IA32系列CPU的一些指令分别在4、8、16字节对齐时会有更快的运行速度,因此gcc编译器为提高生成代码在IA32上的运行速度,默认对产生的代码进行16字节对齐
andl$0xf0,%esp的意义很明显,那么subl$8,%esp呢,是必须的吗?
这里假设在进入main函数之前,栈是16字节对齐的话,那么,进入main函数后,EIP和EBP被压入堆栈后,栈地址最末4位二进制位必定是1000,esp-8则恰好使后4位地址二进制位为0000。
看来,这也是为保证栈16字节对齐的。
如果查一下gcc的手册,就会发现关于栈对齐的参数设置:
-mpreferred-stack-boundary=n
希望栈按照2的n次的字节边界对齐,n的取值范围是2-12
默认情况下,n是等于4的,也就是说,默认情况下,gcc是16字节对齐,以适应IA32大多数指令的要求。
让我们利用-mpreferred-stack-boundary=2来去除栈对齐指令:
#gcc-mpreferred-stack-boundary=2test1.c-otest1
main+8:
可以看到,栈对齐指令没有了,因为,IA32的栈本身就是4字节对齐的,不需要用额外指令进行对齐。
那么,栈框架指针SFP是不是必须的呢?
#gcc-mpreferred-stack-boundary=2-fomit-frame-pointertest1.c-otest
main+5:
由此可知,-fomit-frame-pointer可以去除SFP。
去除SFP后有什么缺点呢?
1)增加调式难度
由于SFP在调试器backtrace的指令中被使用到,因此没有SFP该调试指令就无法使用。
2)降低汇编代码可读性
函数参数和局部变量的访问,在没有ebp的情况下,都只能通过+xx(esp)的方式访问,而很难区分两种方式,降低了程序的可读性。
去除SFP有什么优点呢?
1)节省栈空间
2)减少建立和撤销栈框架的指令后,简化了代码
3)使ebp空闲出来,使之作为通用寄存器使用,增加通用寄存器的数量
4)以上3点使得程序运行速度更快
CallingConvention
调用约定和ABI(ApplicationBinaryInterface)应用程序二进制接口
函数如何找到它的参数?
函数如何返回结果?
函数在哪里存放局部变量?
那一个硬件寄存器是起始空间?
那一个硬件寄存器必须预先保留?
CallingConvention
调用约定对以上问题作出了规定。
CallingConvention也是ABI的一部分。
因此,遵守相同ABI规范的操作系统,使其相互间实现二进制代码的互操作