二进制逆向学习笔记：堆栈图解析汇编中函数调用的过程

下面是示例程序：

#include "stdafx.h" int Plus(int x, int y) {        int z = 2;        return x+y+z; }       int main(int argc, char* argv[]) {        int r = Plus(3, 4);        return 0; }

3. call指令

一般的mov等指令无法改变eip的值，但是call可以call  00401005:  a.将eip的值改为函数所在的地址0x00401005   b.将函数的ret address 压入堆栈保存

4.进入函数后，保留现场，划分堆栈

5.PUSH EBP

保留原栈底位置

6.提升堆栈，创建缓冲区

7.填充缓冲区

LEA EDI，DWORD PTR SS : [EBP - 44]  (EDI中存放缓冲区的最顶地址）MOV ECX ,11 MOV EAX , CCCCCCCCREP STOS DWORD PTR ES : [EDI]

8.定义局部变量

一般情况下：ebp - n 是局部变量 ebp +n 是参数 EBP + 4 是返回地址（因此凡是想修改 ebp + 4 的指令都必须小心)

9.执行加法

EAX存放函数返回值

10.恢复堆栈

MOV ESP，EBP

POP EBP 恢复栈底

11.ret指令

将堆栈中函数的返回地址pop到eip中

ADD ESP，8 平衡堆栈