揭秘 C/C++ 函数调用底层逻辑：从堆栈变化看透程序运行的本质

函数计算完成后，会执行mov eax, dword ptr ss:[ebp-0x8]，把 sum 的值存入 EAX 寄存器。在示例中就是先压入第二个参数 6，再压入第一个参数 5，最终在栈中形成 “5 在下，6 在上” 的布局。回到main函数后，还会执行add esp, 0x8，把之前压入的两个参数从栈中 “移除”（实际是移动栈顶指针覆盖），整个调用过程才算彻底完成。在示例中，call指令的下一

深盾科技

675人浏览 · 2025-08-28 10:45:36

深盾科技 · 2025-08-28 10:45:36 发布

作为 C/C++ 开发者，你是否好奇过函数调用时计算机内部到底发生了什么？为什么参数传递有固定顺序？返回值是怎么传递的？今天我们就通过一个简单的示例程序，深入剖析 32 位程序中函数调用的全过程，带你看透堆栈和寄存器的神秘操作。
一、从一个简单程序说起
先看这段再普通不过的代码：

#include <iostream>

int add_func(int a, int b)
{
    int sum = 0;
    sum = a + b;
    return sum;
}

int main()
{
    int a = 5;
    int b = 6;
    int sum = 0;
    
    sum = add_func(a, b);

    printf("sum: %d\n", sum);

    return 0;
}

就是这个简单的加法函数调用，背后藏着一套严谨的堆栈操作逻辑。我们就以main调用add_func的过程为例，一步步拆解其中的奥秘。
二、参数传递：为什么参数是 “倒着” 进栈的？
函数调用前的第一件事是传递参数，但参数进栈的顺序可能和你想的不一样。

通过汇编代码可以发现，调用add_func前会执行这几步操作：

从ebp-0x14取出变量 b 的值（6），压入栈中
从ebp-0x08取出变量 a 的值（5），压入栈中

这里要先明确两个关键寄存器：

EBP：栈帧基址指针（栈底），通过 EBP 加减偏移量访问栈帧内数据
ESP：栈顶指针，始终指向当前栈的最顶端

由于栈是向下增长的（地址由高到低），参数进栈顺序是从右向左的。在示例中就是先压入第二个参数 6，再压入第一个参数 5，最终在栈中形成 “5 在下，6 在上” 的布局。
三、函数调用：返回地址藏在哪里？
当执行call指令调用函数时，会自动完成一个关键操作：将下一条指令的地址压入栈中。这个地址就是函数执行完后要返回的位置。

在示例中，call指令的下一条地址是0x006118CD，执行call后这个地址会被保存到栈中，成为后续返回的 “路标”。
四、栈帧初始化：每个函数都有自己的 “工作区”
进入add_func后，首先会执行两句关键指令：

asm

push ebp ; 保存上一个栈帧的基址
mov ebp, esp ; 用当前栈顶作为新栈帧的基址

这两步完成了栈帧的切换：把 main 函数的栈帧基址存起来，然后以当前栈顶为起点，创建add_func的栈帧。

紧接着会执行sub esp, 0xCC，这是在栈上开辟一块空间用于存放局部变量（示例中的sum就存在这里）。之后还会把一些寄存器的值压入栈中保护起来，避免函数执行时修改这些值影响上层函数。
五、函数执行：参数和局部变量如何访问？
在add_func内部计算时，我们发现这样的汇编指令：

asm

mov eax, dword ptr ss:[ebp+0x8] ; 取第一个参数a
add eax, dword ptr ss:[ebp+0xC] ; 加第二个参数b
mov dword ptr ss:[ebp-0x8], eax ; 保存到局部变量sum

这里的偏移量很关键：

ebp+0x8：第一个参数（因为ebp+0x4是返回地址，ebp本身是上一个栈帧的基址）
ebp+0xC：第二个参数（每个 int 占 4 字节，所以偏移量加 4）
ebp-0x8：局部变量 sum（在栈帧开辟的空间里）

六、返回值传递：为什么 EAX 寄存器这么重要？
函数计算完成后，会执行mov eax, dword ptr ss:[ebp-0x8]，把 sum 的值存入 EAX 寄存器。这是因为C/C++ 约定用 EAX 寄存器传递返回值，无论返回值是 int、指针还是结构体（小结构体），都会通过 EAX 传递。
七、栈帧销毁：如何干净地 “收尾”？
函数执行结束后，需要销毁当前栈帧并恢复之前的环境，主要步骤是：

用pop指令恢复之前保存的寄存器值（先进后出，和入栈顺序相反）
mov esp, ebp：将栈顶指针拉回栈帧基址，释放局部变量空间
pop ebp：恢复上一个栈帧的基址
ret：从栈中弹出返回地址，跳回调用处继续执行

回到main函数后，还会执行add esp, 0x8，把之前压入的两个参数从栈中 “移除”（实际是移动栈顶指针覆盖），整个调用过程才算彻底完成。
八、写在最后：理解底层的意义
看透函数调用的底层逻辑，不仅能帮你理解程序的运行机制，更能在调试、优化甚至安全防护时发挥作用。比如知道参数和返回值的传递方式，就能更精准地定位内存问题；了解栈帧结构，也能明白为什么缓冲区溢出会导致程序崩溃。

当然，在实际开发中，我们还需要考虑程序的安全性。像这样的底层逻辑很容易被调试工具分析，通过 Virbox Protector 等工具进行加壳保护，可以有效防止恶意调试和逆向分析，保护代码安全。

下次写函数调用时，不妨想想背后的堆栈变化 —— 原来每一行代码的执行，都藏着这么多精密的操作！