【汇编逆向系列】七、函数调用包含多个参数之浮点型- XMM0-3寄存器

目录

1. 汇编代码

1.1 debug编译

1.2 release编译

2. 汇编分析

2.1 浮点参数传递规则

2.2 栈帧rsp的变化时序

2.3 参数的访问逻辑

2.4 返回值XMM0寄存器

3. 汇编转化

3.1 Debug编译

3.2 Release 编译

3.3 C语言转化

---

1. 汇编代码

上一节介绍了整型的函数传参，那么浮点型有什么不同，将在这一节介绍，包含float和double的浮点型都是类似的传参方式。这一节将不再区分少数参数和多个参数，直接使用多个参数浮点型的汇编代码例子。

1.1 debug编译

many_double_params:0000000000000A20: F2 0F 11 5C 24 20  movsd       mmword ptr [rsp+20h],xmm30000000000000A26: F2 0F 11 54 24 18  movsd       mmword ptr [rsp+18h],xmm20000000000000A2C: F2 0F 11 4C 24 10  movsd       mmword ptr [rsp+10h],xmm10000000000000A32: F2 0F 11 44 24 08  movsd       mmword ptr [rsp+8],xmm00000000000000A38: 57                 push        rdi0000000000000A39: 48 83 EC 10        sub         rsp,10h0000000000000A3D: 48 8B FC           mov         rdi,rsp0000000000000A40: B9 04 00 00 00     mov         ecx,40000000000000A45: B8 CC CC CC CC     mov         eax,0CCCCCCCCh0000000000000A4A: F3 AB              rep stos    dword ptr [rdi]0000000000000A4C: F2 0F 10 44 24 20  movsd       xmm0,mmword ptr [rsp+20h]0000000000000A52: F2 0F 58 44 24 28  addsd       xmm0,mmword ptr [rsp+28h]0000000000000A58: F2 0F 58 44 24 30  addsd       xmm0,mmword ptr [rsp+30h]0000000000000A5E: F2 0F 58 44 24 38  addsd       xmm0,mmword ptr [rsp+38h]0000000000000A64: F2 0F 58 44 24 40  addsd       xmm0,mmword ptr [rsp+40h]0000000000000A6A: F2 0F 58 44 24 48  addsd       xmm0,mmword ptr [rsp+48h]0000000000000A70: F2 0F 5E 05 00 00  divsd       xmm0,mmword ptr [__real@4018000000000000]00 000000000000000A78: 48 83 C4 10        add         rsp,10h0000000000000A7C: 5F                 pop         rdi0000000000000A7D: C3                 ret0000000000000A7E: CC                 int         30000000000000A7F: CC                 int         30000000000000A80: CC                 int         3

1.2 release编译

many_double_params:0000000000000000: F2 0F 58 C1        addsd       xmm0,xmm10000000000000004: F2 0F 58 C2        addsd       xmm0,xmm20000000000000008: F2 0F 58 C3        addsd       xmm0,xmm3000000000000000C: F2 0F 58 44 24 28  addsd       xmm0,mmword ptr [rsp+28h]0000000000000012: F2 0F 58 44 24 30  addsd       xmm0,mmword ptr [rsp+30h]0000000000000018: F2 0F 5E 05 00 00  divsd       xmm0,mmword ptr [__real@4018000000000000]00 000000000000000020: C3                 ret

2. 汇编分析

2.1 浮点参数传递规则

在 Windows x64 调用约定中：

• 前 4 个浮点参数​​通过 XMM0-XMM3 寄存器传递
• 第 5 个及以上参数​​通过栈传递（从右向左压栈）
• 调用者需预留 ​​32 字节影子空间​​（Shadow Space），用于被调函数保存寄存器参数

2.2 栈帧rsp的变化时序

在栈帧变化上浮点型与整型保持着完全一致的逻辑

; 1. 保存前4个浮点参数到影子空间
movsd [rsp+20h], xmm3   ; 参数4 → [影子空间+0x20]
movsd [rsp+18h], xmm2   ; 参数3 → [影子空间+0x18]
movsd [rsp+10h], xmm1   ; 参数2 → [影子空间+0x10]
movsd [rsp+8],   xmm0   ; 参数1 → [影子空间+0x08]; 2. 保存非易失寄存器
push rdi                 ; RSP -= 8; 3. 分配局部变量空间
sub rsp, 10h             ; RSP -= 16 (0x10); 4. 初始化局部空间（调试版行为）
mov rdi, rsp
mov ecx, 4
mov eax, 0CCCCCCCCh      ; 填充未初始化数据标记
rep stosd                ; 用 0xCC 填充 16 字节

 在call指令调用函数时，栈帧rsp-=8， 所以影子空间的位置都要+0x08, 由[rsp]-[rsp+0x20]变化为[rsp+8]-[rsp+0x28]所以movsd [rsp+8], xmm0 ; 参数1 → [影子空间+0x08]，第一个参数是放在[rsp+8]。

在push rdi 后， 再次 rsp-=8, 此时所有参数位置要再次+ 0x08

在sub rsp 10h之后，再次 rsp -= 0x10, 所以所有参数位置再次+ 0x10h

这里也充分说明了局部变量的地址是向下增长的

2.3 参数的访问逻辑

; 加载并累加参数（偏移基于当前 RSP）
movsd xmm0, [rsp+20h]   ; 加载参数1 (当前 RSP+0x20 = 原始影子空间+0x08)
addsd xmm0, [rsp+28h]   ; + 参数2 (原始影子空间+0x10)
addsd xmm0, [rsp+30h]   ; + 参数3 (原始影子空间+0x18)
addsd xmm0, [rsp+38h]   ; + 参数4 (原始影子空间+0x20)
addsd xmm0, [rsp+40h]   ; + 参数5 (调用者压栈的第1个额外参数)
addsd xmm0, [rsp+48h]   ; + 参数6 (调用者压栈的第2个额外参数)

由于栈是向下增长的，从参数六开始压栈，参数1 的地址其实是最低的

2.4 返回值XMM0寄存器

在x64架构下，浮点计算的返回值统一使用 ​​XMM0 寄存器​​作为传递载体。这一规则适用于单精度（float）和双精度（double）浮点数，且是跨操作系统（如 Windows 和 Linux）的标准约定

浮点类型​​（包括 float、double）：结果存储在 XMM0 的低位部分：

• ​​单精度​​（32位）：使用 XMM0 的低32位
• 双精度​​（64位）：使用 XMM0 的低64位

3. 汇编转化

3.1 Debug编译

movsd [rsp+20h], xmm3   ; 保存第4个参数（xmm3 → [影子空间+0x20]）[1](@ref)
movsd [rsp+18h], xmm2   ; 保存第3个参数（xmm2 → [影子空间+0x18]）
movsd [rsp+10h], xmm1   ; 保存第2个参数（xmm1 → [影子空间+0x10]）
movsd [rsp+8], xmm0     ; 保存第1个参数（xmm0 → [影子空间+0x08]）
push rdi                ; 保存非易失寄存器 RDI（RSP -= 8）
sub rsp, 10h            ; 分配 16 字节局部空间（RSP -= 16）
mov rdi, rsp
mov ecx, 4             ; 循环4次（4×4字节=16字节）
mov eax, 0CCCCCCCCh    ; 未初始化内存标记（调试用）
rep stosd              ; 用 0xCC 填充局部空间
movsd xmm0, [rsp+20h]   ; 加载第1个参数（原始 xmm0）
addsd xmm0, [rsp+28h]   ; + 第2个参数（原始 xmm1）
addsd xmm0, [rsp+30h]   ; + 第3个参数（原始 xmm2）
addsd xmm0, [rsp+38h]   ; + 第4个参数（原始 xmm3）
addsd xmm0, [rsp+40h]   ; + 第5个参数（栈传递）
addsd xmm0, [rsp+48h]   ; + 第6个参数（栈传递）
divsd xmm0, [__real@4018000000000000]  ; xmm0 /= 6.0
add rsp, 10h            ; 释放局部空间（RSP += 16）
pop rdi                 ; 恢复 RDI（RSP += 8）
ret                     ; 返回结果（xmm0 作为返回值）

3.2 Release 编译

; 函数入口点，参数通过寄存器和栈传递
0000000000000000: 8D 04 11           lea         eax, [rcx+rdx]   ; EAX = 参数1(RCX) + 参数2(RDX)
0000000000000003: 41 03 C0           add         eax, r8d          ; EAX += 参数3(R8D)
0000000000000006: 41 03 C1           add         eax, r9d          ; EAX += 参数4(R9D)
0000000000000009: 03 44 24 28        add         eax, dword ptr [rsp+28h] ; EAX += 参数5（栈偏移0x28）
000000000000000D: 03 44 24 30        add         eax, dword ptr [rsp+30h] ; EAX += 参数6（栈偏移0x30）
0000000000000011: 03 44 24 38        add         eax, dword ptr [rsp+38h] ; EAX += 参数7（栈偏移0x38）
0000000000000015: 03 44 24 40        add         eax, dword ptr [rsp+40h] ; EAX += 参数8（栈偏移0x40）
0000000000000019: 03 44 24 48        add         eax, dword ptr [rsp+48h] ; EAX += 参数9（栈偏移0x48）
000000000000001D: 03 44 24 50        add         eax, dword ptr [rsp+50h] ; EAX += 参数10（栈偏移0x50）
0000000000000021: C3                 ret                          ; 返回结果（EAX为返回值）

3.3 C语言转化

#include <stdint.h>// 函数原型（6个 double 参数）
double many_double_params(double p1, double p2, double p3, double p4,double p5, double p6
) {// 累加所有参数double sum = p1 + p2 + p3 + p4 + p5 + p6;// 除以 6.0 后返回return sum / 6.0;
}