函数调用栈

程序的执行过程可看作连续的函数调用。当一个函数执行完毕时，程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆栈实现，每个用户态进程对应一个调用栈结构(call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量。
不同处理器和编译器的堆栈布局、函数调用方法都可能不同，但堆栈的基本概念是一样的。

1 寄存器

寄存器是处理器加工数据或运行程序的重要载体，用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。
在函数调用过程中, 除通用寄存器外, 还使用了三个特殊的寄存器

• IP(Instruction Pointer)是指令寄存器, 指向处理器下条等待执行的指令地址(代码段内的偏移量)，每次执行完相应汇编指令IP值就会增加
• SP(Stack Pointer)是堆栈指针寄存器，存放执行函数对应栈帧的栈顶地址(也是系统栈的顶部)，且始终指向栈顶
• BP(Base Pointer)是栈帧基址指针寄存器，存放执行函数对应栈帧的栈底地址，用于C运行库访问栈中的局部变量和参数。

不同架构的CPU，寄存器名称被添加不同前缀以指示寄存器的大小。例如x86架构用字母“e(extended)”作名称前缀，指示寄存器大小为32位；x86_64架构用字母“r”作名称前缀，指示各寄存器大小为64位。

2 栈帧

函数调用经常是嵌套的，在同一时刻，堆栈中会有多个函数的信息。每个未完成运行的函数占用一个独立的连续区域，称作栈帧(Stack Frame)。栈帧是堆栈的逻辑片段，当调用函数时逻辑栈帧被压入堆栈, 当函数返回时逻辑栈帧被从堆栈中弹出。栈帧存放着函数参数，局部变量及恢复前一栈帧所需要的数据等。

编译器利用栈帧，使得函数参数和函数中局部变量的分配与释放对程序员透明。编译器将控制权移交函数本身之前，插入特定代码将函数参数压入栈帧中，并分配足够的内存空间用于存放函数中的局部变量。使用栈帧的一个好处是使得递归变为可能，因为对函数的每次递归调用，都会分配给该函数一个新的栈帧，这样就巧妙地隔离当前调用与上次调用。

栈帧是一个逻辑概念, 可以认为一个函数所占用的空间就是一个栈帧(包括 BP, SP 局部变量, 下个函数参数 返回地址 IP....), 其中BP就指向当前函数栈帧底部, SP永远指向栈帧顶部(也是整个调用栈的顶部);
当程序执行时SP会随着数据的入栈和出栈而移动。因此函数中对大部分数据的访问都基于BP进行。

函数调用栈的典型内存布局

// 伪代码
void test(int a, int b){
    int c = 12;
    int d = 13;
}

int main(int argc, const char * argv[]) {
    
    int a = 10;
    int b = 11;
    test(a, b);
    printf("下一条指令")
    
    return 0;
}

从图中可以看出，函数调用时入栈顺序为

实参N-1→主调函数返回地址→主调函数帧基指针EBP→被调函数局部变量1-n

1. 主调函数将参数按照调用约定依次入栈(C/C++ 中参数由右向左一次入栈, 这样出栈是就能保持参数传递的顺序)
2. 将指令指针EIP入栈以保存主调函数的返回地址(下一条待执行指令的地址, 也就是printf函数的地址)。
3. 此时进入test执行指令, 先将主调函数(main)的栈帧基指针EBP入栈
4. 将主调函数(main)函数的栈顶指针ESP值赋给被调函数的EBP(作为被调函数的栈底)
5. 改变ESP值来为函数局部变量预留空间

此时函数空间已调整完毕
此时被调函数帧基指针(EBP)指向被调函数的栈底。以该地址为基准，向上(栈底方向)可获取主调函数的返回地址、参数值，向下(栈顶方向)能获取被调函数的局部变量值，而该地址处又存放着上一层主调函数的帧基指针值。
函数调用完成之后

1. 将EBP指针值赋给ESP，使ESP再次指向被调函数栈底以释放局部变量;(其实数据还在内存中, 不过调整指针之后, 已经变成不安全空间)
2. 再将已压栈的主调函数帧基指针弹出到EBP
3. 弹出返回地址到EIP
4. ESP继续上移越过参数，最终回到函数调用前的状态，即恢复原来主调函数的栈帧。如此递归便形成函数调用栈

EBP指针在当前函数运行过程中(未调用其他函数时)保持不变。在函数调用前，ESP指针指向栈顶地址，也是栈底地址。在函数完成现场保护之类的初始化工作后，ESP会始终指向当前函数栈帧的栈顶，此时，若当前函数又调用另一个函数，则会将此时的EBP视为旧EBP压栈，而与新调用函数有关的内容会从当前ESP所指向位置开始压栈。

3 iOS中的函数调用栈

iPhone 5s以上设备都是用了arm64 (64位的CPU架构), 而ARM64 有34个寄存器，包括31个通用寄存器, 所以当参数少的情况下, 用寄存器就可以完成函数参数的传递, 所以栈帧结构与上图有所区别.

void test(int a, int b){
    int c = 12;
    int d = 13;
    printf("%d, %d", a, b);
}

int main(int argc, const char * argv[]) {
    
    int a = 10;
    int b = 11;
    test(a, b);
    printf("下一条指令");
    
    return 0;
}

下图是根据上面代码在Xcode中实际生成的汇编代码

main 函数汇编指令
test 函数汇编指令

入栈顺序:

1. push 参数, 64位中使用寄存器, 上图分别使用了 %edi %esi 两个参数存储寄存器
2. call指令 调用函数, 此时会将下一条指令压栈(也就是printf)
3. 进入test中, 将main函数栈帧基地址%rbp入栈
4. 将%rsp(当前栈顶地址)赋值给%rbp, 此时%rbp指向了当前函数的栈帧基地址
5. 提升SP指针 subq $0x20, %rsp, 相当于开辟了 32字节栈空间给局部变量使用(由汇编可以看出, iOS中使用mov指令获取栈空间来操作局部变量, 并没有使用push pop的方式)
6. 此时函数入栈完成开始执行业务代码.......
   出栈顺序:
7. 恢复SP指针 addq $0x20, %rsp, 抵消入栈时的 提升SP指针操作, 相当于释放局部变量(并没有移除内存, 但是指针不在指向时, 变成不安全空间)
8. 此时SP指针指向栈中保存的rbp的值, 恢复BP指针 popq %rbp, 将栈中保存的值赋值给%rbp, 此时%rbp指向了main函数的栈帧基地址 也就是恢复到了调用test之前的状态
9. ret指令 此时栈顶存储的是下一条指令(也就是printf)的地址, ret 指令会将栈顶值pop到IP, 而IP控制着指令的执行, 所以此时test函数调用完成, 接下来执行printf