x86,32位中为什么要做栈平衡。

最新推荐文章于 2023-04-17 12:32:55 发布
原创 最新推荐文章于 2023-04-17 12:32:55 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文探讨了32位系统中通过栈进行参数传递的过程,并详细分析了正常函数调用与栈溢出调用的区别。重点介绍了如何在栈溢出的情况下实现正确的栈平衡,以确保程序的稳定运行。

在32位中是通过栈进行参数传递,正常函数的调用,栈中要先压入返回地址,再压入ebp。但通过溢出执行相关函数时,只压入ebp,并不压入返回地址,因此函数正常返回时,先后执行,leave,ret,就会多出栈一次,因此,需要做栈平衡

正常调用溢出调用
leave(mov esp,ebp;pop ebp)ebpebp
ret(pop eip)返回地址栈平衡
esp

通过代码调试代码如下:

#include <stdio.h>
int add(int a,int b,int c)
{
        int sum;
        sum=a+b+c;
}
void main()
{
// char t[32];
// scanf("%s",t);
//printf("%s\n",t);
int a=1,b=2,c=3;
int sum;
sum=add(1,2,3);
printf("sum=%d\n",sum);
}

gcc编译后,通过gdb调试

 EBP  0xffffd5bc —▸ 0xffffd5e8 ◂— 0x0
 ESP  0xffffd5bc —▸ 0xffffd5e8 ◂— 0x0
 EIP  0x804840e (add+3) ◂— sub    esp, 0x10
─────────────────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────────────────
   0x8048421 <add+22>    nop    
   0x8048422 <add+23>    leave  
   0x8048423 <add+24>    ret    
    ↓
   0x804840b <add>       push   ebp
   0x804840c <add+1>     mov    ebp, esp
 ► 0x804840e <add+3>     sub    esp, 0x10
   0x8048411 <add+6>     mov    edx, dword ptr [ebp + 8]
   0x8048414 <add+9>     mov    eax, dword ptr [ebp + 0xc]
   0x8048417 <add+12>    add    edx, eax
   0x8048419 <add+14>    mov    eax, dword ptr [ebp + 0x10]
   0x804841c <add+17>    add    eax, edx
──────────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────────
00:0000│ ebp esp  0xffffd5bc —▸ 0xffffd5e8 ◂— 0x0
01:0004│          0xffffd5c0 —▸ 0x8048455 (main+49) ◂— add    esp, 0xc
02:0008│          0xffffd5c4 ◂— 0x1
03:000c│          0xffffd5c8 ◂— 0x2
04:0010│          0xffffd5cc ◂— 0x3
05:0014│          0xffffd5d0 ◂— 0x1
06:0018│          0xffffd5d4 ◂— 0x2
07:001c│          0xffffd5d8 ◂— 0x3

进入add函数后,如上所示,add函数的地址为0x804840b,在栈中压入了,返回地址与ebp

00:0000│ ebp esp  0xffffd5bc —▸ 0xffffd5e8 ◂— 0x0
01:0004│          0xffffd5c0 —▸ 0x8048455 (main+49) ◂— add    esp, 0xc

修改栈顶为“aaaa”,返回地址为add函数的地址,在此次add函数结束后,再次调用add函数,如下所示:

00:0000│ ebp esp  0xffffd5bc —▸ 0x804b008 ◂— 'aaaa'
01:0004│          0xffffd5c0 —▸ 0x804840b (add) ◂— push   ebp
02:0008│          0xffffd5c4 ◂— 0x1
03:000c│          0xffffd5c8 ◂— 0x2
04:0010│          0xffffd5cc ◂— 0x3
05:0014│          0xffffd5d0 ◂— 0x1
06:0018│          0xffffd5d4 ◂— 0x2
07:001c│          0xffffd5d8 ◂— 0x3

等再次进入add函数如下所示,没有压入返回地址

EBP  0x804b008 ◂— 'aaaa'
 ESP  0xffffd5c4 ◂— 0x1
 EIP  0x804840b (add) ◂— push   ebp
─────────────────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────────────────
   0x804841c <add+17>    add    eax, edx
   0x804841e <add+19>    mov    dword ptr [ebp - 4], eax
   0x8048421 <add+22>    nop    
   0x8048422 <add+23>    leave  
   0x8048423 <add+24>    ret    
    ↓
 ► 0x804840b <add>       push   ebp
   0x804840c <add+1>     mov    ebp, esp
   0x804840e <add+3>     sub    esp, 0x10
   0x8048411 <add+6>     mov    edx, dword ptr [ebp + 8]
   0x8048414 <add+9>     mov    eax, dword ptr [ebp + 0xc]
   0x8048417 <add+12>    add    edx, eax
──────────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────────
00:0000│ esp  0xffffd5c4 ◂— 0x1
01:0004│      0xffffd5c8 ◂— 0x2
02:0008│      0xffffd5cc ◂— 0x3
03:000c│      0xffffd5d0 ◂— 0x1
04:0010│      0xffffd5d4 ◂— 0x2
05:0014│      0xffffd5d8 ◂— 0x3
06:0018│      0xffffd5dc —▸ 0x80484a1 (__libc_csu_init+33) ◂— lea    eax, [ebx - 0xf8]
07:001c│      0xffffd5e0 —▸ 0xf7fb43dc (__exit_funcs) —▸ 0xf7fb51e0 (initial) ◂— 0x0

继续执行,压入ebp

EBP  0xffffd5c0 —▸ 0x804b008 ◂— 'aaaa'
 ESP  0xffffd5c0 —▸ 0x804b008 ◂— 'aaaa'
 EIP  0x804840e (add+3) ◂— sub    esp, 0x10
─────────────────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────────────────
   0x8048421 <add+22>    nop    
   0x8048422 <add+23>    leave  
   0x8048423 <add+24>    ret    
    ↓
   0x804840b <add>       push   ebp
   0x804840c <add+1>     mov    ebp, esp
 ► 0x804840e <add+3>     sub    esp, 0x10
   0x8048411 <add+6>     mov    edx, dword ptr [ebp + 8]
   0x8048414 <add+9>     mov    eax, dword ptr [ebp + 0xc]
   0x8048417 <add+12>    add    edx, eax
   0x8048419 <add+14>    mov    eax, dword ptr [ebp + 0x10]
   0x804841c <add+17>    add    eax, edx
──────────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────────
00:0000│ ebp esp  0xffffd5c0 —▸ 0x804b008 ◂— 'aaaa'
stack
01:0004│          0xffffd5c4 ◂— 0x1
02:0008│          0xffffd5c8 ◂— 0x2
03:000c│          0xffffd5cc ◂— 0x3
04:0010│          0xffffd5d0 ◂— 0x1
05:0014│          0xffffd5d4 ◂— 0x2
06:0018│          0xffffd5d8 ◂— 0x3
07:001c│          0xffffd5dc —▸ 0x80484a1 (__libc_csu_init+33) ◂— lea    eax, [ebx - 0xf8]

【实现操作系统 00】x86 与 x64 架构下函数参数传递的区别
Imagine Miracle的博客
08-09 1672
本文分析了在 x86 和 x86_64 架构下函数参数传递的区别。
深层理解-平衡原理
any19201的博客
03-27 461
深层理解-平衡原理-底层是如何实现平衡的?      在iOS、android操作系统中,经常会遇到入的操作。那么现在操作系统已经不需要我们去关心堆的操作。    比如:iOS中的ARC模式,android中的JVM都会帮我们自动释放内存,自动保持堆平衡。但是对于开发者来说,还是很有必要掌握堆平衡原理的。     那么今天让我们来详细讨论下iOS...
平衡
weixin_45798017的博客
05-17 2171
含义 如果要返回父程序,则当我们在堆中进行操作时,一定要保证在RET这条指令执行之前,ESP指向的是我们压入堆的地址,也就是堆压入的值中途 可能发生变化,但是在函数执行完得和刚开始的保持一致。 如果通过堆传入参数了,那么在函数执行完毕后,要平衡参数导致的堆变化。 ...
X86 32汇编利用堆传递函数参数的过程
weixin_62320071的博客
03-12 2460
当传递的参数较少时,还是可以用寄存器来传参的,但是一旦传递的参数多了,就没办法了。主程序将入口参数压入堆,子程序从堆中取出参数;出口参数通常不使用堆传递。高级语言进行函数调用时提供的参数实质上也是用堆传递的,高级语言还利用堆创建局部变量。保存参数和局部变量的堆区域称为堆帧,在函数调用时建立、返回后消失。esp通常用来储存顶,ebp通常用来储存底。
平衡
Helping BIOSer become Awesome!
07-31 535
把stack 比喻成一个公用的书箱,一次只能放一本书, 再放的话就是往第一本书上摞了,假如你放了三本书,你用 完了箱子走人,因为箱子是公用的,你得把箱子还原回原来的样子,你自己或由管理员帮你把箱子还原。你不还原的话,别的人(程序) 就不能用书箱了,否则就乱套了。把这个还原比喻成stack 平衡 push 指令是压 ESP=ESP-4 pop 指令是出 ESP=ESP+4 参...
x86_64汇编中的平衡(内)附od反汇编图解
小手琴师的博客
11-06 5425
目录push 入pop 出 首先介绍占空间用到的几个寄存器 ESP 顶指针 (extended stack pointer)英文直译是:扩展指针 EBP 底指针 ,指的是本层call子程序的底,就是最上层call的底。不是整个空间的底 (extended base pointer)英文直译是扩展基址指针 push 入 push eax 等价于 sub esp , 4 mov [esp],eax 把eax压入等价于 县 让esp指针 - 4 ,然后把 eax的值存入
汇编语言平衡为什么一个参数就要add esp,4
02-18
好的,我现在需要回答用户关于汇编语言平衡的问题,具体是为什么一个参数后要使用`add esp, 4`。用户之前问过C语言中int占多少字节,现在转向汇编,可能是在学习函数调用或操作相关的知识。 首先,我需要回忆...
汇编语言x86如何使用
最新发布
06-30
3.在64x86汇编中,的使用与32有什么主要区别?4.如何处理对齐(stackalignment)问题?5.什么是调用约定(callingconvention)?常见的调用约定有哪些?</think>### x86汇编语言中的操作详解 在x86汇编...
C和汇编混合编程---平衡
qq_41683305的博客
02-10 439
最近在搞C和汇编混合编程,对平衡有点小理解,记录一下 当我们调用一个API或者子程序时时,API和子程序可以理解为函数,我们不必在返回的时候平衡里面的函数参数,比如下面的程序: #include "stdio.h" #include "windows.h" int main(int argc, char* argv[]) { printf("begin\n"); HINSTAN...
X86中的操作
行善之人必有余庆
09-05 798
1,push指令 PUSH (Push) decrements the stack pointer (ESP), then transfers the source operand to the top of stack indicated by ESP (see Figure 3-1). PUSH is often used to place parameters on the sta
【汇编】堆平衡、外与内
qq_52572621的博客
09-07 4478
如果要返父程序,则当我们在堆中进行堆操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入堆中的地址。也就是说我们的call指令调用函数之后,他的下一个地址会push到堆中,我们在函数中无论怎么操作堆,ret返回前堆必须指向的是call指令压入的地址。(这里我们假设函数参数不会操作堆,只是函数内容操作堆) 如果通过堆传递参数,那么函数执行完毕之后,要平衡参数导致的堆变化。
[原创]浅析汇编之堆平衡
eli的博客
10-21 1177
为什么要使用堆 程序运行需要使用数据,那么数据存放在哪里呢,内存中. 首选存放置是寄存器(运行速度快),但是由于可用的太少,所以就把数据存放在堆中. 但是要考虑存储置的问题,要想精准的访问到存储的数据,就需要一个固定的内存地址(底) 数据从一个固定的置开始,依次排列 函数内使用的局部变量都是临时存储的,如果每次调用都要往内存中存数据并且不去删除,就会造成很大的浪费 解决方法就是给他一块临时的空间,用完之后就覆盖掉,这就是开辟堆 具体代码示意图 具体堆示意图
一个错误,一个教训,关于堆平衡
weixin_30363509的博客
05-08 226
我一直以为,不同语言决定函数的调用约定,比如,C++使用cdecl,Delphi使用register,因为在查看Delphi帮助<Calling conventions>时,以及经常看到"各种语言中调用子程序的约定是不同的"这样的话,就武断的认为调用约定由语言决定,而API和DLL导出函数都是Stdcall约定。这就是我的错误。现在,我认为约定是具体函数决定的。就如同DLL导出函数我们...
32linux内存空间布局(4GB)
qq_30528603的博客
04-17 1111
现在留一段空隙,每次程序加载时,的基地址都是在这段空间随机的,这样黑客无法准确知道的起始置和内存布局,加大漏洞利用的困难。但是细心的朋友会发现,这种布局有个弊端,mmap 区域与区域相对增长,这意味着堆只有 1GB 的虚拟地址空间可以使用,继续增长就会进入 mmap 映射区域,这是因为地址空间所限导致的。在32的系统中,计算机的寻址范围最大是4GB,也就是我们的程序有4GB可以使用,但是这4GB并不是全部给用户程序使用的。的值可以是一个正整数,表示的最大尺寸,或者特定的常量值,如。
逆向之汇编(堆平衡&&函数)
weixin_51325053的博客
06-20 610
一 . 基本概念 函数是什么: 一些指令的集合。 如何调用函数: 用 call指令 为什么:(对比jmp指令) 参数: 返回值: 二. 用堆的方式传递参数 如果有10个参数怎么办?——没有那么多寄存器。 向堆push1~5个数 接着call指令 在(call指令对应的)特定地址依次: ADD EAX,DWORD PTR DS:[ESP+4] ADD EAX,DWORD PTR DS:[ESP+8] …(共5个) RET(返回顶所知内存,即call指令下面的内
浅谈逆向——32逆向分析技术(1.函数)
qq_38684512的博客
01-30 947
浅谈逆向-32逆向分析技术启动函数函数 启动函数 编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。 对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...
Linux32和Linux64下进程分析
m0_37891226的博客
12-25 457
Linux32和Linux64下进程分析 x86 和 x86-64 系统采用不同的方式来对函数参数进行传递。x86通过进行参数的传递,而x86-64通过寄存器进行参数的传递。 用一段简单的代码来进行分析: using namespace std; int add(int a, int b){ return a + b; } int main(int argc, char const *ar...
空间排布,数据相关内容
aningxiaoxixi的博客
05-30 363
上面是画的简单的。 LD寄存器 LR(Link Register),连接寄存器的英文缩写,在ARM体系结构中LR的特殊用途有两种:一是用来保存子程序返回地址;二是当异常发生时,LR中保存的值等于异常发生时PC的值减4(或者减2),因此在各种异常模式下可以根据LR的值返回到异常发生前的相应置继续执行。 LR 用来跳转回原来的函数 可以从反汇编得到 stmdb sp! {r4,r5,r6,r7,r8,fp,ip,lr,pc} stmdb sp! {fp,ip,lr,pc} 等等 这样的汇编指令 .
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值