从 push rbp 到 ret:GDB 视角下函数跳转与栈帧演变的保姆级追踪

原创 于 2025-12-19 16:11:28 发布 · 334 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #安全 #pwn #栈 #c语言 #栈帧 #GDB

测试代码:

#include <stdio.h>
​
int test(int a,int b)
{
    int c = a + b;
    printf("%d\n", c);
    return c;
}
​
int main(int argc, char const *argv[])
{
    test(1,2);
}

关闭堆栈保护进行编译::

gcc -no-pie -fno-stack-protector 1.c -o test

检查一下:

checksec test

使用 ida 看程序伪代码:

使用 gdb 动调:

gdb test

反汇编 main 函数:

disass main

和我们在 ida 看到的是一样的

我们主要来看函数调用栈的过程

在 main 函数调用 test 函数处下断点、运行:

b *0x40118e
r

进入函数内部:

si

程序首先会进入到 endbr64

这个是 Intel CPU 为了缓解 ROP 做的一个防护措施(可以直接看做 NOP 指令,什么都不做)

此时:

rbp  0x7fffffffdeb0

首先保存原来 main 函数的栈帧

push rbp

可以看到 0x7fffffffdeb0 入栈到栈顶

接下来,生成子函数(test函数)的栈帧:

mov    rbp, rsp

将 rbp 指向 rsp,也就是将当前的栈顶和栈底重合

此时可以看到 rsp 和 rbp 在一条线上了,都指向 0x7fffffffdeb0

接下来,开辟一段新的内存空间

sub    rsp, 0x20

开辟 32 字节的内存空间,rsp 上移 4 行(每一行是 8 字节)

可以看出来,栈是从高地址往低地址生长

至此,新的栈帧已经形成

接下来,将寄存器 edi 中的值(即函数的第一个int 参数,这里是 1)存到栈上 rbp - 0x14 的位置

mov    dword ptr [rbp - 0x14], edi

查看 rbp - 0x14 处的值:

x $rbp-0x14

同理,将寄存器 esi 中的值存到栈上 rbp - 0x18 的位置

继续移动到 edx 和 eax

 mov    edx, dword ptr [rbp - 0x14]
 mov    eax, dword ptr [rbp - 0x18]

接下来,eax 和 edx 相加,保存结果放到 eax

add    eax, edx

加完之后,eax 会变成 3

将结果写到 rbp - 4 的位置( 这里将函数的返回值 3 保存在栈上的局部变量 [rbp - 4] 中)

mov    dword ptr [rbp - 4], eax

然后又移动到 eax(一般 eax 代表函数的返回值)

mov    eax, dword ptr [rbp - 4]

看起来其实是多余的,主要是为了确保局部变量的内存地址和返回值寄存器都保持一致

接下来,将返回值移动到 esi,为后续调用 printf 函数做准备

mov    esi, eax

然后,将 rip + 0xea5 处的内容移动到 rax,然后再移动到 rdi

lea    rax, [rip + 0xea5]
mov    rdi, rax

x/s 0x402004

内容是 %d\n ,作为 printf 函数的第一个参数

%d: 这是格式说明符,告诉 printf 将后续的参数(即 ESI 寄存器中的整数值 3)以十进制整数形式打印出来

参数准备就绪,调用 printf 函数:

call   printf@plt

结果输出了 3

之后,取 rbp - 4 处的值给到 eax 作为 test 函数的返回值

mov    eax, dword ptr [rbp - 4]

然后执行

leave
ret

leave 等价于:

mov rsp, rbp    ; 把栈顶指针恢复到函数开始时的位置(取消局部变量空间)
pop rbp         ; 恢复原来的基址指针

ret 等价于:

pop rip  ;从栈顶弹出一个值给到 rip

leave 执行前:

rsp 指向 0x7fffffffde70,rbp 指向 0x7fffffffde90

00:0000│ rsp 0x7fffffffde70 —▸ 0x7ffff7fc1000 ◂— jg 0x7ffff7fc1047
01:0008│-018 0x7fffffffde78 ◂— 0x100000002
02:0010│-010 0x7fffffffde80 ◂— 2
03:0018│-008 0x7fffffffde88 ◂— 0x31f8bfbff
04:0020│ rbp 0x7fffffffde90 —▸ 0x7fffffffdeb0 ◂— 1

执行后:

先将 rsp 和 rbp 重叠,都指向 0x7fffffffde90

弹出 rbp 后,rsp 下移 8字节,指向 0x7fffffffde98

00:0000│ rsp 0x7fffffffde98 —▸ 0x401193 (main+34) ◂— mov eax, 0
01:0008│-010 0x7fffffffdea0 —▸ 0x7fffffffdfc8 —▸ 0x7fffffffe270 ◂— '/root/test/test'
02:0010│-008 0x7fffffffdea8 ◂— 0x100401050
03:0018│ rbp 0x7fffffffdeb0 ◂— 1

rbp 恢复成原始 main 函数的栈帧

此时的 rbp 是 0x7fffffffdeb0,和我们一开始保存的是一样的

继续执行 ret,其中 0x401193 就是我们的返回地址

将这个地址弹给 rip,又回到了 main 函数上继续执行后续的指令

通过GDB调试学习
萌二三
03-26 491
hello.cpp #include <iostream> using namespace std; int foo(int a, int b, int c) { int var1; int var2; int var3; return a + b + c + var1 + var2 + var3; } int main() { int res = foo(1, 2, 3); cout << "hello! res = " &
x86-64 下函数调用及原理 - 知乎1
08-03
在x86-64架构下,函数调用和的管理是高效且复杂的。首先,我们要了解这个架构下的通用寄存器及其用途。x86-64提供了16个64位通用寄存器,其中%rax通常用于存储函数的返回值,同时也参乘法和除法运算。在imul...
gdb调试之信息
大草的博客
05-12 5415
我们先给出gdb的调试方法。 然后结合信息和汇编代码,分析函数调用过程中的()变化情况。
[万字长文]从入门到精通:GDB的简介、常用命令和部分高特性总结
mcd3team的博客
01-10 2050
从入门到精通:gdb简介、常用命令总结和部分高特性
使用GDB探索进程的以及的内容
wphkadn的博客
07-27 1511
进程的关系、的关系 一个进程里面包含了很多内容,既有代码段、静态变量以及全局变量、无效区域、堆、,也还有最上面的内核态的东西。 这里只讨论用户态的。 用户态的可以被分为多个,多个自上而下组成了是描述了一个函数的执行过程。 ebp寄存器保存了一个的底部地址,esp寄存器保存了一个的顶部地址。 的组成 包括了如下内容: 该函数在上层函数中,下一个语句的地址(如test函...
入门系列:gdb学习——函数调用时参数传递
weixin_42645653的博客
10-07 2911
说明:   本文章旨在总结备份、方便以后查询,由于是个人总结,如有不对,欢迎指正;另外,内容大部分来自网络、书籍、和各类手册,如若侵权请告知,马上删帖致歉。   QQ 群 号:513683159 【相互学习】 内容来源:   《Debug Hack 中文版》    实验环境:   ubuntu16.04,64位 内容   接下来要进行函数参数传递的调试。   参数传递方法根据架构、语言、编译器的不同而不同。 参数的存储位置   整型和指针型的参数会从左至右依次保存到rdi、rsi、rdx、rcx、r8、r9
x86-64 下函数调用及原理
djvc的专栏
01-24 1067
缘起 在 C/C++ 程序中,函数调用是十分常见的操作。那么,这一操作的底层原理是怎样的?编译器帮我们做了哪些操作?CPU 中各寄存器及内存堆函数调用时是如何被使用的?的创建和恢复是如何完成的?针对上述问题,本本文进行了探索和研究。 通用寄存器使用惯例 函数调用时,在硬件层面我们需要关注的通常是cpu 的通用寄存器。在所有 cpu 体系架构中,每个寄存器通常都是有建议的使用方法的...
C语言杂谈:函数函数调用时到底发生了什么
2303_76580416的博客
06-06 1684
C语言 ——— 汇编代码分析函数的创建销毁过程
weixin_55341642的博客
05-13 960
本文通过汇编代码分析函数的创建销毁过程。重点介绍了局部变量的创建机制(在分配后初始化)、函数参数传递方式(从右至左压)、形参实参的关系(值相同但空间独立),以及函数返回机制(通过寄存器传递返回值)。文章详细解析了ebp和esp寄存器在维护中的作用,并以Add函数为例,展示了从参数传递到结果返回的完整调用流程,揭示了函数调用背后的底层实现原理。
函数的创建销毁 进阶
加油!
11-21 1267
本文通过Visual Studio 2022调试环境,结合反汇编代码深入分析了函数的创建销毁过程。文章首先介绍了必要的预备知识,包括CPU寄存器(如rsp、rbp)的作用、进程地址空间布局以及常见汇编指令(push、pop、mov等)的功能。随后详细图解了函数创建和销毁的完整流程,展示了参数传递、局部变量存储和返回地址处理等关键步骤。通过实际代码示例,文章还探讨了递归调用的机制及其时间复杂度计算的关系,并指出递归可能导致溢出的风险。最后,文章为读者进一步理解可变参数、宏函数等高主题提供了
从汇编层看64位程序运行——上变量的rbp表达
方亮的专栏
07-15 2052
如果发生了诸如0x00005555555553bb处的压行为,变量a的表达就要变成+0x10(%rsp),这对于汇编的阅读和编写会造成很大的麻烦。这样诸如-0x28(%rbp)表达变量a的方式,也可以通过+0x08(%rsp)的形式来表达。这是编译器让rsp的进行改变的,表达这个函数需要0x30的上空间存储局部变量(a,b,c,d,e,f,g,h,i,j)。我们让所有的变量初始化完成,然后再查看上变量的变化,可以看到上数值已经发生了改变。我们将所有的参数都压,然后观察rsp和rbp的变化。
40、X86 - 64 核心编程:非叶子函数寄存器使用
u5v6w7的博客
07-15 61
本文详细介绍了在x86-64汇编语言中编写非叶子函数的关键技术,包括的初始化管理、非易失性通用寄存器和XMM寄存器的使用保存恢复方法。通过三个示例程序演示了不同场景下的实现技巧,如整数参数求和、数组运算、浮点计算等,为优化汇编代码和处理复杂任务提供了实用指导。
10、深入理解函数调用结构
tgb345678的博客
08-09 83
本文深入探讨了函数调用结构的相关原理,包括函数调用约定、寄存器分配规则、局部变量布局以及的建立访问方式。文章通过具体示例解析了在 x86 架构下函数调用时指针和指针的行为,并介绍了 Ghidra 工具在分析中的应用。此外,还讨论了结构在不同处理器架构下的差异以及其在逆向工程和漏洞检测中的重要性,为深入理解程序执行机制和安全防护提供了理论基础和实践指导。
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 341
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等外壳纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
绿电直连系统安全防护技术:网络安全、运行安全数据安全的全维度保障
最新发布
xigedianli的博客
12-18 571
绿电直连系统面临网络安全、运行安全和数据安全三重风险,需构建全维度保障体系。网络安全需通过边界隔离、接入认证和威胁监测技术抵御攻击;运行安全依靠状态预警、协同控制和应急处置技术确保稳定供电;数据安全采用加密、脱敏和合规审计技术保护敏感信息。需结合技术防护管理体系,实现风险联防联控,为绿电直连系统提供可靠安全保障,支撑低碳转型发展。
自动化安全监测新突破:新一代测斜仪技术升行业应用
weixin_43963569的博客
12-17 509
摘要: 测斜仪技术正经历从传统人工操作向自动化、高效化的升转型。传统测斜仪存在数据不连续、维护繁琐等问题,而基于MEMS和物联网技术的新一代阵列式、节段式位移计解决了这些痛点。节段式位移计通过模块化拼接、实时监测和可重复使用等优势,适应煤矿、基坑、坝体等场景需求;阵列式位移计则提供高精度三维监测能力。两者共同推动安全监测行业向精准化、低成本化发展,满足现代工程对实时预警和长期稳定监测的核心需求,为地质灾害防治和工程安全提供技术支撑。未来,智能化灵活化将是测斜仪发展的主要方向。
蛋白质AI设计时代的生物安全:筑牢核酸合成的“安检门”
haisendashuju的博客
12-16 275
研究团队进行了一次系统的“AI红队”测试:他们利用ProteinMPNN等公开可用的AI蛋白设计工具,对72种已知的危险野生型蛋白进行了大规模“改头换面”,生成了超过7.6万个合成同源序列。其中,AI辅助的蛋白质设计尤为引人瞩目,它让科学家得以在浩瀚的“蛋白宇宙”中高效探索,定制具有特定功能的全新蛋白质,为攻克疾病、开发新材料带来革命性希望。然而,这项强大技术的普及也如同打开了“潘多拉魔盒”,引发了深刻的生物安全隐忧:倘若有人意图合成有害的蛋白质,日益“聪明”的AI设计工具是否会成为其帮凶?
Flutter + OpenHarmony 安全隐私合规实践:构建可信、合规、用户放心的鸿蒙应用
2501_93573294的博客
12-16 839
Flutter + OpenHarmony 安全隐私合规实践:构建可信、合规、用户放心的鸿蒙应用
如何解决驱动程序无法通过使用安全套接字层(SSL)加密 SQL Server 建立安全连接。
kaka的博客
12-17 454
摘要:在使用JDK24连接SQL Server数据库时出现SSL加密连接错误"No appropriate protocol"。解决方案是修改java.security文件,删除jdk.tls.disabledAlgorithms=SSLv3配置。示例代码展示了完整的JDBC连接流程,包括加载驱动、建立连接、执行查询和资源释放。连接字符串需包含encrypt=true和sslProtocol=TLSv1等参数。修改配置后程序成功连接数据库并查询UserInfo表数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值