X86汇编PUSH与POP操作对于变量在内存中高低地址的转换分析

内存可以看作是一段线性的、按字节编号的存储空间，就像一条无限长的街道，每个字节都是一个"房子"，每个房子有唯一的"门牌号"（地址）：

举个通俗例子：把内存地址想象成楼层号，低地址是1楼、2楼（数值小），高地址是10楼、20楼（数值大）。

栈的生长方向是从高地址向低地址扩展 ------压栈（push）数据时，栈顶寄存器esp的数值会减小（指向更低的地址）；出栈（pop）数据时，esp数值会增大（指向更高的地址）。

以32位x86系统（逆向最经典场景）为例，用main函数调用add(a=1, b=2)的过程，一步步展示栈地址的变化，所有地址均为十六进制（逆向标准表示）。

cdecl约定下，参数从右到左压栈（先压b，再压a）：

压入参数b=2：
- 执行push 2，esp = 0x0012FF80 - 4 = 0x0012FF7C（地址减小，指向更低地址）。
- 内存地址0x0012FF7C（高地址）存储数值2。
压入参数a=1：
- 执行push 1，esp = 0x0012FF7C - 4 = 0x0012FF78。
- 内存地址0x0012FF78（低地址）存储数值1。

此时栈地址分布（高→低）：

地址（十六进制）	存储内容	说明
0x0012FF7C	2（参数b）	高地址
0x0012FF78	1（参数a）	低地址（栈顶当前）

执行call add时，CPU会先把main函数下一条指令的地址（返回地址，假设为0x00401020）压入栈，再跳转到add函数：

进入add函数后，首先执行栈帧初始化指令：

保存旧ebp（main的ebp）：
- 执行push ebp，esp = 0x0012FF74 - 4 = 0x0012FF70。
- 内存地址0x0012FF70存储0x0012FF80（main的ebp值）。
设置新ebp（add的栈帧底部）：
- 执行mov ebp, esp，此时ebp = 0x0012FF70（add栈帧的底部，高地址）。
分配局部变量（比如add的局部变量c）：
- 执行sub esp, 4（分配4字节），esp = 0x0012FF70 - 4 = 0x0012FF6C（add栈帧的顶部，低地址）。
- 内存地址0x0012FF6C存储局部变量c（初始值随机，比如0）。

地址（十六进制）	存储内容	角色	地址属性
0x0012FF70	0x0012FF80（main的ebp）	add栈帧底部（ebp）	高地址
0x0012FF74	0x00401020（返回地址）	返回地址	-
0x0012FF78	1（参数a）	函数参数	-
0x0012FF7C	2（参数b）	函数参数	-
0x0012FF6C	0（局部变量c）	add栈帧顶部（esp）	低地址

上述地址是示例值 ，实际系统中地址会因操作系统（Windows/Linux）、编译器（MSVC/GCC）、ASLR（地址随机化）等因素变化，但高低地址的相对关系永远不变。
64位系统的栈操作逻辑与32位一致，仅地址宽度变为64位（比如0x000000000012FF80），每次push/pop的步长为8字节。
ebp（栈帧基址）的核心作用是"锚定"栈帧：通过ebp+偏移量可以精准访问参数（如ebp+8是参数a）、局部变量（如ebp-4是局部变量c），这是逆向中定位参数/变量的关键。

总结