一.什么是ebp？

（1）ESP：栈指针寄存器(extended stack pointer)，其内存放着一个指针，该指针永远指向系统栈最上面一个栈帧的栈顶。
（2）EBP：基址指针寄存器(extended base pointer)，其内存放着一个指针，该指针永远指向系统栈(包含多个栈帧)最上面一个栈帧的底部。

二.什么是栈帧？

1.栈帧——整个系统调用路径上的某个函数占用的一个系统栈片段(帧)。

2.下图展示了两个栈帧的系统栈。

3.从上图可知，当前函数对应的栈帧的栈底(第一个压栈值)实际上压入的正是ebp寄存器的值，而这个值正是其caller栈帧的栈底。

4.ebp的值只会在发生函数调用的时候变化，并且是esp寄存器的一个快照。

push    ebp  
mov     ebp,esp

上面两句话的意思是将ebp推入栈中，之后让ebp等于esp

为什么这么做呢？因为ebp作为一个用于寻址的固定值是有时间周期的。只有在某个函数执行过程中才是固定的，在函数调用与函数执行完毕后会发生改变。

在函数调用之前，将调用者的函数（caller）的ebp存入栈，以便于在执行完毕后恢复现场是还原ebp的值。

5.从上面main函数的反汇编也可以看出，栈帧的结构如下：

三.再举个简单的例子

C代码：

#include<stdio.h>int func(int a, int b)
{return a+b;
}int main(int argc, char **argv)
{int c = 0;c = func(0x5, 0x6);return 1;
}

对应的汇编代码：

func:pushl %ebpmovl %esp,%ebpmovl 8(%ebp),%eaxaddl 12(%ebp),%eaxjmp .L1
.L1:leave               //movl ebp,esp; popl ebp, 回到func函数栈base pointer,弹出main的ebpret                 //popl eip(由call func那条指令压入的call func返回地址)
main:pushl %ebpmovl %esp,%ebp      //main函数的栈base pointersubl $4,%esp        //栈中预留func的返回值占用的4字节空间movl $0,-4(%ebp)    //将栈中预留func的返回值空间清0pushl $6            //压入func参数，从最后一个参数到第一个参数依次压栈pushl $5call func           //1.push eip; 2.跳转到func标号去执行movl %eax,-4(%ebp)  //func的返回值写入栈中预留的空间movl $1,%eax        //设置main的返回值为1jmp .L2
.L2:leave               //相当于以下两条指令，movl ebp,esp; popl ebp, 回到main函数栈base pointer,弹出main的调用者的ebpret                 //popl eip

栈帧变化说明:

 

四.通过栈帧追踪某个函数的call stack

1.功能实现函数

// Record the current call stack in pcs[] by following the %ebp chain.
// 记录当前调用getcallerpcs的函数call stack的算法
void
getcallerpcs(void *v, uint pcs[])
{uint *ebp;int i;ebp = (uint*)v - 2;         // 获取caller's caller的起始栈帧/* 一共记录10层调用栈 */for(i = 0; i < 10; i++){if(ebp == 0 || ebp < (uint*)KERNBASE || ebp == (uint*)0xffffffff)break;pcs[i] = ebp[1];          // saved %eip ———— 调用函数后返回地址ebp = (uint*)ebp[0];      // saved %ebp}for(; i < 10; i++)pcs[i] = 0;
}

2.假设有如下调用栈

kfree(char *v)acquire(&kmem.lock);        //void acquire(struct spinlock *lk)getcallerpcs(&lk, lk->pcs);

3.getcallerpcs函数算法的实现原理展示在下图

参考：

实例讲解 xv6 的锁 - 知乎