詳細解析ESP暫存器與EBP暫存器

   最近在看彙編碼,經常在程式的開頭看到ESP和EBP暫存器的出現,由於本人基礎知識的不牢靠,便上網查閱相關的資料,可惜網上的資料都不給力,都只是流於形式,沒有好好的解釋這兩個東西是什麼.終於通過google國外的網站,得到一個相當不錯的網頁,上面解釋的很清晰http://www.tenouk.com/Bufferoverflowc/Bufferoverflow2a.html 英文好的可以上去看看(我好像很喜歡這句話)

（1）ESP：棧指標暫存器(extended stack pointer)，其記憶體放著一個指標，該指標永遠指向系統棧最上面一個棧幀的棧頂。

在這裡要注意由於在intel系統中棧是向下生長的(棧越擴大其值越小,堆恰好相反)

（1）ESP：棧指標暫存器(extended stack pointer)，其記憶體放著一個指標，該指標永遠指向系統棧最上面一個棧幀的棧頂。
（2）EBP：基址指標暫存器(extended base pointer)，其記憶體放著一個指標，該指標永遠指向系統棧最上面一個棧幀的底部。

根據上述的定義,在通常情況下ESP是可變的,隨著棧的生產而逐漸變小,而ESB暫存器是固定的,只有當函式的呼叫後,發生入棧操作而改變。

在上述的定義中使用ESP來標記棧的底部，他隨著棧的變化而變化

pop ebp;出棧 棧擴大4byte 因為ebp為32位

push ebp;出棧，棧減少4byte

add esp, 0Ch；表示棧減小12byte

sub esp, 0Ch；表示棧擴大12byte

而ebp暫存器的出現則是為了另一個目標，通過固定的地址與偏移量來尋找在棧引數與變數。而這個固定值者存放在ebp暫存器中，。但是這個值會在函式的呼叫過程發生改變。而在函式執行結束之後需要還原，因此，在函式的出棧入棧過程中進行儲存。

下面根據彙編碼來對上面的內容進行解釋

現在利用VS2013的反彙編功能進行解釋注意設定好斷點

在上述的彙編碼中我們可以看到在函式開始的時候，習慣上以這麼兩端程式碼開始

push     ebp  

mov     ebp,esp 

按照字面上理解，上面兩句話的意思是將ebp推入棧中，之後讓ebp等於esp

為什麼這麼做呢？因為ebp作為一個用於定址的固定值是有時間週期的。只有在某個函式執行過程中才是固定的，在函式呼叫與函式執行完畢後會發生改變。

在函式呼叫之前，將呼叫者的函式（caller）的ebp存入棧，以便於在執行完畢後恢復現場是還原ebp的值。下一步，foo必須為它的區域性變數分配空間，同時，也必須為它可能用到的一些臨時變數分配空間。

 sub esp, 0cch；減去的值根據程式而定

之後會根據情況看是否儲存某些特定的暫存器（EBX，ESI和EDI）

之後ebp的值會保持固定。此後區域性變數和臨時儲存都可以通過基準指標EBP加偏移量找到了

在函式執行完畢，控制流返回到呼叫者的函式（caller）之前會進行下述操作

  pop         edi

  pop         esi

  pop         ebx

  mov         esp,ebp   

  pop         ebp         

  Ret

所謂有始有終，這是會還原上面儲存的暫存器值，之後還原esp的值（上一個函式呼叫之前的esp被儲存在固定的ebp中）與ebp值。這一過程被稱為還原現場之後通過ret返回上一個函式。