C++ vtable的生成以及vptr的赋值跟踪实验

    在看《Inside The C++ Object Model》时想到一个问题， vtable是在什么时候生成的？运行时对象的vptr又是什么时候赋值的？如何得知相应的函数的地址的？

    为此写程序实验了一下，得出结论如下：

    1. 编译的时候，编译器自动为每个有虚函数的类生成vtable，此vtable类似于静态常量数据，并编译到最终的可执行文件中。

    2. 具体实例的vptr在构造函数中赋值，指向vtable地址。

    3. 构造函数中如果调用虚函数，只会调用该类的虚函数。

    程序如下：

 view plaincopy to clipboardprint?
#include <iostream>
class B
{
public:
    B(int i) : _i(i)
    {
        vf();
    }
    virtual void vf()
    {
        std::cout << "B::vf called" << std::endl;
    }

    virtual ~B()
    {
        vf();
    }
private:
    int _i;
};
class D : public B
{
public:
    D(int i, int j) : B(i), _j(j)
    {
        vf();
    }
    virtual void vf()
    {
        std::cout << "D:vf called" << std::endl;
    }
    virtual ~D()
    {
        vf();
    }
private:
    int _j;
};
int main()
{
    B* p = new D(1, 2);

    p->vf();
    delete p;
    return 0;
}

    编译，进入Debug状态，打开Disassembly， 能够看到
 27:       D(int i, int j) : B(i), _j(j)
28:       {
004012D0   push        ebp
004012D1   mov         ebp,esp
004012D3   push        0FFh
004012D5   push        offset __ehhandler$??0D@@QAE@HH@Z (0041d779)
004012DA   mov         eax,fs:[00000000]
004012E0   push        eax
004012E1   mov         dword ptr fs:[0],esp
004012E8   sub         esp,44h
004012EB   push        ebx
004012EC   push        esi
004012ED   push        edi
004012EE   push        ecx
004012EF   lea         edi,[ebp-50h]
004012F2   mov         ecx,11h
004012F7   mov         eax,0CCCCCCCCh
004012FC   rep stos    dword ptr [edi]
004012FE   pop         ecx
004012FF   mov         dword ptr [ebp-10h],ecx
00401302   mov         eax,dword ptr [ebp+8]
00401305   push        eax
00401306   mov         ecx,dword ptr [ebp-10h]
00401309   call        @ILT+125(B::B) (00401082)
0040130E   mov         dword ptr [ebp-4],0
00401315   mov         ecx,dword ptr [ebp-10h]
00401318   mov         edx,dword ptr [ebp+0Ch]
0040131B   mov         dword ptr [ecx+8],edx
0040131E   mov         eax,dword ptr [ebp-10h]
00401321   mov         dword ptr [eax],offset D::`vftable' (0042f01c)
29:           vf();
00401327   mov         ecx,dword ptr [ebp-10h]
0040132A   call        @ILT+155(D::vf) (004010a0)
30:       }    在其中，看到了对B：：B（）的调用， B：：B（）的汇编如下
 B(int i) : _i(i)
7:        {
00401380   push        ebp
00401381   mov         ebp,esp
00401383   sub         esp,44h
00401386   push        ebx
00401387   push        esi
00401388   push        edi
00401389   push        ecx
0040138A   lea         edi,[ebp-44h]
0040138D   mov         ecx,11h
00401392   mov         eax,0CCCCCCCCh
00401397   rep stos    dword ptr [edi]
00401399   pop         ecx
0040139A   mov         dword ptr [ebp-4],ecx
0040139D   mov         eax,dword ptr [ebp-4]
004013A0   mov         ecx,dword ptr [ebp+8]
004013A3   mov         dword ptr [eax+4],ecx
004013A6   mov         edx,dword ptr [ebp-4]
004013A9   mov         dword ptr [edx],offset B::`vftable' (0042f028)
8:            vf();
004013AF   mov         ecx,dword ptr [ebp-4]
004013B2   call        @ILT+210(B::vf) (004010d7)
9:        }

    其中能够看到两处对vptr的赋值

    B：：B中的

    00401321 mov dword ptr [eax]，offset D：：`vftable' （0042f01c）

    和D：：D中的

    004013A9 mov dword ptr [edx]，offset B：：`vftable' （0042f028）

    这是对instance的vptr赋值的语句， 通过计算，可以得知，此时的mov命令目标地址就是传入的this指针（通过ECX传入）所指的第一个单元，（这个要认真算一下，跳来跳去比较麻烦）

    还能看到对_i和_j的赋值语句

    004013A0   mov         ecx，dword ptr [ebp+8]

    在B：：B执行完毕时对象的状态如下

-------------------
|  vptr (B:vftable)|
--------------------
|  _i (1)          |
 ------------------
| _j (未赋值）     |
--------------------

D::D执行完毕后对象状态如下:
-------------------
|  vptr (D:vftable)|
--------------------
|  _i (1)          |
 ------------------
| _j (2）          |
--------------------
    由此可以得出结论

    构造函数中调用虚函数是不会产生“虚”效果的，编译的时候就写死了，只调用自己的虚函数。如上

    0040132A   call        @ILT+155（D：：vf） （004010a0）

    至于原因，很多地方都有解释： 此时子类尚未构造，因此无法去调用子类的虚函数。

    此外，我们看到了vtable的地址

    B：：`vftable' （0042f028）

    D：：`vftable' （0042f01c）

    通过watch窗口能看到起内容，我们再使用dumpbin /all test.exe > test_all.txt，然后打开test_all.txt，我们能够看到同样的内容

 SECTION HEADER #2
  .rdata name
    2DBF virtual size
   2F000 virtual address
    3000 size of raw data
   2F000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only

RAW DATA #2
  0042F000: 00 00 00 00 D1 2C 50 4A 00 00 00 00 02 00 00 00  .....,PJ........
  0042F010: 32 00 00 00 00 00 00 00 00 70 03 00 A0 10 40 00  2........p....@.
  0042F020: D2 10 40 00 00 00 00 00 D7 10 40 00 23 10 40 00  ..@.......@.#.@.
  0042F030: 00 00 00 00 42 3A 3A 76 66 20 63 61 6C 6C 65 64  ....B::vf called
  0042F040: 00 00 00 00 44 3A 76 66 20 63 61 6C 6C 65 64 00  ....D:vf called.

    其中我们可以看到0042f01c处的几个地址A0 10 40 00 D2 10 40 00， 分别是0x004010A0， 和0x04010D2，对照汇编以及Debug时的Variables窗口，可以看到这两个地址是D：：vf和D：：~D的地址， 这就是D类的vtable的内容，两个虚函数的地址在看B的D7 10 40 00 23 10 40 00， 0x004010D7 和00401023是B：：vf和B：：~B的地址，可以在构造函数中设断点看到这些信息。

    为此，我们可以认为编译的是很编译器做了这些工作：

    1. 为有虚函数的类，生成虚函数表 ，可以认为插入到相应的C++代码中（C++编译器往用户代码中插入不少东西，比如构造函数、析构函数的调用）

    可以认为如下形式：

    static const void* _vtable_B[2] = { （void*）B：：vf，

    （void*）B：：~B}

    static const void* _vtable_D[2] = { （void*）D：：vf，

    （void*）D：：~D}

    2. 然后再在类的构造函数中插入对vptr的赋值

    this->vptr = _vtable_B[0]；

    3. 其中的vtable就像程序定义的其他全局变量一样，编译到最终的可执行文件中，在载入运行的时候载入 .