跟踪eip和esp

最新推荐文章于 2024-06-30 15:14:06 发布
原创 最新推荐文章于 2024-06-30 15:14:06 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汇编 #c #string

本文为张银奎老师《代码调试》一书中关于的栈实验,记录下照猫画虎的学习过程。

代码:

汇编如下:

 

bp a!main 设置断点    g执行到这个断点

 

0:000> r eip,esp
eip=00401020 esp=0013ff84

 

0:000> dd esp l1
0013ff84  00401115

 

p单步执行一次

 

0:000> r eip,esp
eip=00401022 esp=0013ff80

 

esp中压入一个int所需空间,向下减去4

 

t进入函数

 

0:000> r eip,esp
eip=00401000 esp=0013ff7c

 

esp又减去4个字节,压入了函数的返回后的地址  可以用dd esp l1显示返回地址的内容

0:000> dd esp l1
0013ff7c  00401027

 

光标定位到ret 4一行,ctrl+F10执行到这一行,观察eip和esp

0:000> r eip,esp
eip=0040101a esp=0013ff7c

 

esp内容和刚进入函数时一样,栈保持平衡。

 

p单步执行,到达c3 ret

 

0:000> r eip,esp
eip=00401027 esp=0013ff84

 

esp增加了8,和刚进入main时一样,参数被被调用函数func清理。

 

0:000> dd esp l1
0013ff84  00401115

 

 

High_High
关注
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 998
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
espebp跟踪记录
10-17
push ebp mov ebp,esp
ESPEIP、EBP寄存器在函数调用时的理解
ln的博客
05-24 2774
一、前提知识 1、寄存器空间内存空间是两个不同存储部分,程序指令栈一般认定在内存中,而寄存器可以存储数值某些内存空间地址。 2、栈空间是由高地址向低地址增长的,栈顶就是地址最低的。 3、ESP寄存器往往存储栈顶地址,是动态变化的,PUSH、POP、CALL、RETN汇编指令都会造成ESP存储的值发生变化ESP始终指向栈顶元素,而不是栈顶下一个元素。 4、EIP寄存器是存放CPU要读取的指令地址,相当于PC计数器。 5、EBP表示一个栈空间的基地址,不同函数的基地址不一样,比如main函数
关于 ESP,EBP,EIP
半岛铁盒的博客
06-13 1606
调用fun函数开始时,三者的作用。 1.EIP寄存器里存储的是CPU下次要执行的指令的地址。 也就是调用完fun函数后,让CPU知道应该执行main函数中的printf(“函数调用结束”)语句了。 2.EBP寄存器里存储的是是栈的栈底指针,通常叫栈基址,这个是一开始进行fun()函数调用之前,由ESP传递给EBP的。(在函数调用前你可以这么理解:ESP存储的是栈顶地址,也是栈底地址。) 3.ESP寄存器里存储的是在调用函数fun()之后,栈的栈顶。并且始终指向栈顶。 ...
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 7080
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
函数栈EIP、EBP、ESP寄存器的作用(转)
元俊up
06-18 1万+
这一篇文章咱们就来重新认识一下EIP、EBP、ESP这三个寄存器,寄存器又好几个,但是为什么我们要单独看这几个呢?因为在很多情况下我们在调试的时候最注意的就是这三个寄存器,其实这几个寄存器都是为“栈”而生,下面将结合图片分别谈谈这几个寄存器。 0x01 栈的结构 “栈"想必大家都很熟悉了,我们再重复一遍他的几个重要性质概念。 1、先进后出。 2、在内存中表现为从高地址往低地址增长。 3、栈顶:栈...
汇编寄存器基本指令
铜板的专栏
12-16 2484
堆栈是一种简单的数据结构,是一种只允许在其一端进行插入或删除的线性表。允许插入或删除操作的一端称为栈顶,另一端称为栈底,对堆栈的插入删除操作被称为入栈出栈。有一组CPU指令可以实现对进程的内存实现堆栈访问。其中,POP指令实现出栈操作,PUSH指令实现入栈操作。CPU的ESP寄存器存放当前线程的栈顶指针,EBP寄存器中保存当前线程的栈底指针。CPU的EIP寄存器存放下一个CPU指令存放的内存地
EIP、EBP、ESP的作用
08-05
| ESP | 栈指针 | 动态跟踪栈顶位置 | 频繁变化 | | EBP | 基址指针 | 提供栈帧稳定访问基准 | 函数周期固定 | > 栈帧结构示意图: > ``` > 高地址 | 调用者参数 | [EBP+8] > | 返回地址 | [EBP+4] > EBP -> | ...
任务描述 分析版本1内核,回答下列问题: 1.在 0 号进程执行 fork 系统调用中的陷入指令(int 0x80)之前,当前指令位置(CS:EIP栈位置(SS:ESP)分别是多少? 2.使用 si 命令执行了该指令后,新指令位置栈位置分别是多少? 3.此时栈中保存的恢复点位置用户栈位置分别是多少? 相关知识 为了完成本关任务,你需要掌握: 1.跟踪到系统调用的陷入指令(int 0x80)执行之前; 2.响应中断/异常时,CPU 做了哪些工作; 3.查看当前寄存器的状态; 4.查看当前栈顶的状态 环境准备 本关卡使用版本 1 内核进行分析,设置方式与以前相同。 启用 gdb 进行调试跟踪到 main 函数入口,方法与前面的实训相同。 跟踪到系统调用的陷入指令(int 0x80)执行之前 一般而言,可以在该系统调用处设置断点,跟踪到该断点,然后使用 si 命令单步执行到陷入指令。但是,对于 main 函数里的 fork 系统调用,不能这样操作(因为 gdb 有时断点设置不够准),可以先跟踪到前一行的 move_to_user_mode 语句,然后使用 n 单步执行,即可到达 fork 系统调用的开始,此时再反汇编,找到陷入指令: 然后再通过 si 单步执行,跟踪到陷入指令 (int 0x80) 。 响应中断/异常时,CPU 做了哪些工作 从中断现场恢复使用用户栈,回到以前的 CPU 状态(一般是用户态),回到恢复点继续运行。是中断发生时 CPU 所做动作的逆过程。此时,核心栈里存放着中断现场,如下图所示: 上图显示了栈中中断现场的结构,(OLD SS:OLD ESP) 描述了用户栈顶的位置,(OLD CS:OLD EIP) 描述了恢复点的位置。 如何查看当前寄存器的状态 使用 gdb 调试命令 info registers 即可,如下所示: 也可以单独查看某一个寄存器: 如何查看当前栈顶的状态 可以使用命令 x 来查看: 上面显示了栈顶的 5 个长字,是某异常发生时的中断现场,其中存储的用户栈顶的位置是 0x17:0x2573c ,存储的恢复点的位置是 0xf:0x7967 。需要注意的是,x86 中栈是从高地址向低地址方向增长的,这里的栈顶位置是 0x1fa0c 。 编程要求 根据相关知识,回答问题:(将答案填写在/data/workspace/myshixun/第四关.txt中) 1.在 0 号进程执行 fork 系统调用中的陷入指令(int 0x80)之前,当前指令位置(CS:EIP栈位置(SS:ESP)分别是多少? 2.使用 si 命令执行了该指令后,新指令位置栈位置分别是多少?此时栈中保存的恢复点位置用户栈位置分别是多少? 测试说明 平台会对你的操作进行检测,同时会对文档的内容进行检测。请完成操作并且填写文档内容之后再点击评测。
最新发布
12-09
- **栈中保存的恢复点位置**:控制单元自动保存 `eflags`、`cs`、`eip`、`ss` `esp` 到内核栈,这些保存的用户态寄存器信息所在的位置就是恢复点位置。恢复点位置用于在系统调用处理完成后,恢复到用户态继续执行...
#include "cpu/exec/helper.h" make_helper(call_si){ int len=decode_si_l(eip+1); swaddr_t ret_addr=cpu.eip+len+1; swaddr_write(cpu.esp-4,4,ret_addr); cpu.esp-=4; cpu.eip+=op_src->val; print_asm("call %x",cpu.eip+1+len); } make_helper(call_rm){ int len=decode_rm_l(eip+1); swaddr_t ret_addr=cpu.eip+1+len; swaddr_write(cpu.esp-4,4,ret_addr); cpu.esp-=4; cpu.eip+=op_src->val-(len+1); print_asm("call %s",op_src->str); return len+1; }为什么在make_helper(call_si)中print_asm打印的是下一条指令的地址,而在make_helper(call_rm)中print_asm()打印的是当前操作数的内存或寄存器地址
09-26
我们正在分析两个不同的`call`...> 总结:`call_si`打印计算后的绝对地址(便于验证跳转逻辑),`call_rm`打印操作数表达式(便于跟踪动态目标)。这种差异由指令语义调试优先级决定,符合反汇编器的通用设计原则。
广义ESP定律与OEP入口定位技术解析
除了ESP之外,EIP(指令指针)是否跳转至新分配的代码段、EAX/ECX/EDX等寄存器是否开始承载有意义的数据结构地址(如模块句柄、字符串指针),都是判断是否接近OEP的重要线索。例如,当连续出现对`GetModuleHandle`...
函数栈&EIP、EBP、ESP寄存器的作用
南意的博客
10-22 5733
认识EIP、EBP、ESP
什么是EIPESP、EBP
初问的专栏
03-11 3257
什么是EIPESP、EBP <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="http://purl.org/dc/elements/1.1/"xmlns:trackback="http://madskills.com/public/xml/rss/module/tr
你了解函数调用过程吗?
一个程序员的修炼之路
01-03 934
函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程: 对于程序运行机制中的数据结构实现的了解,对自己开发程序有着启发作用 碰到一些疑难杂症的时候,比如函数栈溢出了或者函数栈破坏了,如何从蛛丝马迹中寻找问题的原因。 了解栈溢出可能带来的危害,黑客也许会利用栈溢出的漏洞进行攻击。 这篇博文我们一起来对函数调用过程进行探究。 程序样例 下面是这篇博文要用到的一个样例程序:程序在main中调用了FunAdd函数。本篇就先来研究一下: 函数的
寄存器 ESP EBP EIP
禾木
06-30 1409
栈顶指针, the current stack pointer。指令指针寄存器,也被称为程序计数器(PC)。存储即将执行的指令的内存地址。栈底指针,基地址指针。
EIP & EBP & ESP
f413933206的专栏
12-20 7511
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
堆栈中的EIP EBP ESP
大头针的专栏
11-14 3万+
 测试空间旗下大头针出品 EIP,EBP,ESP都是系统的寄存器,里面存的都是些地址。 为什么要说这三个指针,是因为我们系统中栈的实现上离不开他们三个。 我们DC上讲过栈的数据结构,主要有以下特点: 后进先处。(这个强调过多)其实它还有以下两个作用: 1.栈是用来存储临时变量,函数传递的中间结果。 2.操作系统维护的,对于程序员是透明的。我们可能只强调了它的后进
运动目标跟踪(十七)--一些跟踪算法简述及跟踪牛人资料整理
热门推荐
工作笔记
08-19 3万+
这篇文章,主要记录一些效果时间不是很优秀的跟踪算法,以备用。 L1APG: 原文: http://www.cnblogs.com/pixel/archive/2012/10/17/2728243.html 以防原文链接失效,引用: 最近在看有关将L1范数最小化运用到视频跟踪上的文章,这里是文章实现代码的下载地址http://www.dabi.temple.edu/~hbling/co
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值