C++入口不是main？知乎上打起來了

知乎上居然有人為了C++的入口函式到底是什麼打了起來！

至於打得有多激烈我就不知道了，我們來關注這個問題本身。

你說main函式是入口，那main是被誰呼叫的呢？

他說mainCRTStartup是入口，那mainCRTStartup又是被誰呼叫的呢？

從程序建立說起

一切的一切，讓我們從建立程序開始說起。

程序建立完成後，接著會建立主執行緒，這是程序中第一個開始執行程式碼的執行緒。

主執行緒建立後，就得到了時間片，開始參與系統的執行緒排程，那麼程式從哪裡開始執行呢？

在Windows平臺，C++程式碼編譯後的可執行檔案叫PE檔案。

PE檔案中有一個叫

OEP

的術語便是指的程式入口點。所謂入口點顧名思義就是主執行緒最開始執行的地方，許多病毒加殼技術其中一點就是對這個OEP進行處理。

現在，我們來使用工具PEID來看一個程式（VC8。0編譯）的OEP如圖：

0x00011078乃是RVA（相對虛擬地址），要看在程序地址空間中真正的起始地址，還得加上PE檔案的對映基址，預設為0x00400000，不過，可以透過編譯器選項進行調整。不知道也沒關係，將程式放入OllyDbg，在記憶體對映中可以看到程式的對映基址：

由圖看到對映基址是0x00400000。

那麼由前面所述，程式執行的第一條指令應該位於0x00400000 + 0x00011078 = 0x00411078。

沒錯，就是這樣。

切換到OllyDbg的主視窗，我們發現了，程式確實初始停在了這裡，並且這裡是一條jmp指令。

我們到Jmp的目的地0x00411800去看看那裡是什麼東東？

這是什麼東西？先賣個關子，總之，這裡是程式進來之後真正做的第一件事。

main函式被誰呼叫？

換個思路，我們開啟VS2008寫一個簡單的程式，程式做什麼並不重要，我們要看它的啟動原理。

注意看呼叫堆疊視窗，因為我是使用UNICODE編碼環境，故_tmain（）就是wmain（），如果是ANSI編碼就是最開始學程式時的main（）函數了。

以前寫程式就想過一個問題，我們寫的所有函式都會被我們自己直接或間接呼叫，但有一個函式例外，那就是main（）函式。我們寫了它但從不會去呼叫它，事實上也不可能去呼叫它。

從呼叫堆疊看到，我們的wmain函式是被_tmainCRTStartup函式呼叫的，這是個什麼東西？再往前推是wmainCRTStartup呼叫的_tmainCRTStartup。這兩個函式是做什麼的，他們之間有什麼關係？

雙擊呼叫堆疊裡的項即可轉到對應的原始碼，我們可以發現，這兩個函式是在crtexe。c檔案中實現的。閱讀原始碼可以發現，有四個啟動函式分別是：

mainCRTStartup（） ANSI + 控制檯程式

wmainCRTStartup（） UNICODE + 控制檯程式

WinMainCRTStartup（） ANSI + GUI程式

wWinMainCRTStartup（） UNICODE + GUI程式

這一點在《windows核心程式設計》中也有提到。不過我們可以更進一步一窺它們的實現程式碼：

就這麼簡單，先呼叫了__security_init_cookie（），然後是我們前面看到的_tmainCRTStartup（）。

第一個函式是做什麼的呢？這個是微軟在VS2003後引入的防止緩衝區溢位攻擊的技術。簡單的說就是在呼叫函式的時候在棧裡安裝一個隨機的cookie值，這一cookie值在記憶體的一個地方有備份，函式呼叫完成後需要檢測這個cookie和備份的一不一致，以此來判斷有沒有棧溢位發生。那麼，這個函式就是來初始化這個備份區域的資料的。

然後第二個函式呼叫_initterm（）進行全域性變數、物件初始化。之後，我們可以看到才是真正呼叫了我們的main（）/wmain（）/WinMain（）/wWinMain（）的地方。繞了一大圈，回答了開始的疑問了。