修改ebp带来的问题一例

最新推荐文章于 2021-11-20 22:25:16 发布
原创 最新推荐文章于 2021-11-20 22:25:16 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一个示例代码,展示了在进行inline hook时修改ebp寄存器可能引发的问题,解释了由于编译器依赖ebp定位参数和局部变量,因此修改ebp可能导致意外的内存访问错误。修复这个问题的方法是避免直接使用`mov ebp, esp`,而是改用其他方式跳转到目标地址。" 84943915,7709623,Java图形绘制问题解析:无法在Canvas上显示填充的椭圆,"['Java图形API', 'GUI编程', 'Swing组件', 'Canvas绘制', '事件处理']

        一般情况下我们很少去修改ebp,即使使用汇编也只是用到eax 、ebx等几个通用寄存器,ebp和esp都是让编译器自动安排的。但有时ebp的修改就成为必须,如进行inline hook的时候,这时就要小心因为ebp的修改而带来的bug,以下为示例代码:

 

NTSTATUS My_PsCreateSystemThread(                                                                       

                            _Out_      PHANDLE ThreadHandle,
                            _In_       ULONG DesiredAccess,
                            _In_opt_   POBJECT_ATTRIBUTES ObjectAttributes,

最低0.47元/天 解锁文章
引发C++软件异常的常见原因分析与总结(实战经验分享)
dvlinker的技术专栏
05-30 6万+
本文根据近几年排查C++软件异常的实践经历与实战经验,详细地总结出引发C++软件异常的常见原因,给大家提供一些借鉴和参考,以帮助大家快速地定位问题
GCC的内嵌汇编语法
享受开发,颠倒银河
12-10 1681
1 Overview 开发一个OS,尽管绝大部分代码只需要用C/C++等高级语言就可以了,但至少和硬件相关部分的代码需要使用汇编语言,另外,由于启动部分的代码有大小限制,使用精练的汇编可以缩小目标代码的Size。另外,对于某些需要被经常调用的代码,使用汇编来写可以提高性能。所以我们必须了解汇编语言,即使你有可能并不喜欢它。     如果我们选择的OS开发工具是GCC以及GAS的话,就必须了解
逆向基础:汇编(堆栈相关、修改EIP(pc)、函数)
lm19770429的专栏
10-16 353
每个进程有一个4GB的内存
win32 汇编基础概念整理
u011555996的博客
05-03 1664
一、关于寄存器 寄存器有EAX,EBX,ECX,EDX,EDI,ESI,ESP,EBP等,似乎IP也是寄存器,但只有在CALL/RET在中会默认使用它,其它情况很少使用到,暂时可以不用理会。 EAX是WIN32 API 默认的返回存放处。 ECX是LOOP指令自动减一的寄存器。 ESP是堆栈指针。 EBP经常用来在堆栈中寻址。 ESI好像常常用在指针寻址中,EDI不大清楚。
shellcode之一:栈溢出
AZURE
01-22 5253
前言:现在我是嵌入式软件开发者,大学本科读的是电子信息专业,正常的来说不会与入侵、漏洞利用什么的打交道。只是大一时心血来潮用工具进入了另外一台电脑。其实这些也无关重要,重要的是我从那台电脑上down了第一部A片。不出意外的话,那台电脑应该属于女生的,因为那个IP段是女生楼那边的。后来我就可以很笃定的跟别人说:女生也是要看A片的。后来又用工具入侵了更多的局域网电脑,甚至学校一些社团的服务器。再后来,
GCC优化选项-fomit-frame-pointer对于esp和ebp优化的作用
diao80050的博客
10-11 349
我的博客:www.while0.com 我的博客:www.shishangguan.net -fomit-frame-pointer选项是发布产品时经常会用到的优化选项,它可以优化汇编函数中用edp协助获取堆栈中函数参数的部分,不使用edp,而是通过计算,全部使用esp来完成。看下边的例子就明白了: 把一下文件保存为test.c int b(int c){ int...
优化汇编例程(6)
wuhui_gdnt的专栏
06-06 714
6. 使用内联汇编 内联汇编是把汇编代码放入一个C++文件的另一个方法。关键字asm或_asm或__asm或__asm__告诉编译器这个代码是汇编。对内联汇编,不同的编译器有不同的语法。不同的语法解释如下。 使用内联汇编的好处有: 它很容易与C++结合。 定义在C++代码中的变量与其他符号可以从汇编代码访问。 仅不能以C++编写的代码使用汇编编写。 所有汇编指令都可用。 生成的代码就...
操作系统内核Hack:(二)底层编程基础
西代零零发
10-09 7840
操作系统内核Hack:(二)底层编程基础在《操作系统内核Hack:(一)实验环境搭建》中,我们看到了一个迷你操作系统引导程序。尽管只有不到二十行,然而要完全看懂还是需要不少底层软硬件知识的。本文的目的就是跟大家一起学习这一部分知识,本着够用就行的原则,不会完全铺开来,只要能让我们顺利走完未来的操作系统内核Hack之旅就可以了。1.开篇:“古怪”的80386如果大家跳过这一部分直接看本文后面的部分,或
miracl函数库的使用中存在的问题
weixin_45748968的博客
11-20 1118
1.miracl库的下载,内附下载库的百度网盘 2.按照上述链接步骤进行操作。但是在----重新生成阶段遇到问题 一堆这种问题------无法打开包括文件: “miracl.h”: No such file or directory 1>mralloc.c 解决方法:如该文章中的解决方案 3.达到的效果:问题被解决了,但是一堆类似警告------warning C4731: “mr_sdiv”: 框架指针寄存器“ebp”被内联程序集代码修改(不管了,能解决就行) 可能生成静态库的时候出了点问题,所以我
类库hook类库 实现各种类库
11-21
各种hook方法,加滤镜,亲测好用的哦!!!! //.................例子.................. // XLIB::CXHookAPI m_HookMessageBox; // // //新的函数 // int WINAPI myMessageBox( // HWND hWnd, // LPCSTR lpText, // LPCSTR lpCaption, // UINT uType // ) // { // //调用源函数 // return m_HookMessageBox.CallFunction( 4,0,"hook后",lpCaption,uType ); // } // // //过虑函数 // VOID __cdecl filter( XLIB::CStack_ESP* pStack ) // { // printf("0xx\n",pStack->GetReturnAddress()); // printf(" argu2 = %s\n",pStack->GetArgument(1)); // } // // int _tmain(int argc, _TCHAR* argv[]) // { // // // LPVOID lpAddr = XLIB::CXHookAPI::GetAddressByNameA( "user32.dll","MessageBoxA"); // // //inline hook测试 // MessageBoxA( 0,"hook前",0,0); // m_HookMessageBox.InlineHookFunction( lpAddr,myMessageBox ); // // //你在这里,还可以hook输出表,或者输入表等 // //m_HookMessageBox.HookImportTable( GetModuleHandle(0),"user32.dll","MessageBoxA",myMessageBox); // // //过滤测试 // //m_HookMessageBox.InlineHookAddress( lpAddr,filter); // // MessageBoxA( 0,"hook前",0,0); // // system("pause"); // return 0; // }
C++中volatile的作用
热门推荐
姜亚轲的博客
07-08 1万+
代码编译环境:Windows7 32bits+VS2012。 volatile是“易变的”、“不稳定”的意思。volatile是C的一个较为少用的关键字,它用来解决变量在“共享”环境下容易出现读取错误的问题。 1.volatile的作用 定义为volatile的变量是说这变量可能会被意想不到地改变,即在你程序运行过程中一直会变,你希望这个被正确的处理,每次从内存中去读这个,而不是因编译器...
Error: The type of the peer is not EBGP的解决方式
cenjeal的博客
07-04 1582
在进行BGP网络拓扑图搭建的时候,需要对bgp区域进行划分,不同的区域连接要用EBGP协议。 如下图所示,出现如下错误是因为区域划分错误所导致的,此时只需要把命令peer 3.3.3.3 as-number改成peer 3.3.3.3 as-number 200就能解决问题。 ...
内嵌汇编的语法
dadaguo3000的专栏
12-31 827
<br />在gcc中,可以使用__asm__表示后面的代码为内嵌汇编代码,__volatile__表示编译器不要优化代码,后面的指令保留原样,内嵌汇编语法如下:<br />__asm__(汇编语句模板:输出部分: 输入部分: 破坏描述部分) <br />1.汇编语言模板<br />语句之间使用";"、"/n"或"/n/t"分开。指令中的操作数可以使用占位符引用C语言变量,操作数占位符最多为10个,名称如下:<br />%0,%1,...,%9 <br />指令中使用占位符表示的操作数,总被视为long型(
delphi 内嵌汇编例子
weixin_30871701的博客
07-09 166
Function add(x,y:Integer):Integer;varcount:Integer;begin asm mov eax,x mov ecx,y add eax,ecx mov count,eax end; Result:=count;end; procedure TForm1.Button1Click...
__asm__ __volatile__ 嵌入式内嵌汇编语法解构
sir_zeng的专栏
01-09 741
__asm__ __volatile__ 嵌入式内嵌汇编语法解构 带有C/C++表达式的内联汇编格式为:   __asm__ __volatile__("Instruction List" :Output: Input : Clobber/Modify); 其中每项的概念及功能用法描述如下:   1、__asm__   __asm__是GCC 关键字asm
32位CPU所含有的寄存器
令狐葱的技术博客
11-13 2817
32位CPU所含有的寄存器有:4个数据寄存器(EAX、EBX、ECX和EDX)2个变址和指针寄存器(ESI和EDI) 2个指针寄存器(ESP和EBP)6个段寄存器(ES、CS、SS、DS、FS和GS)1个指令指针寄存器(EIP) 1个标志寄存器(EFlags)1、数据寄存器数据寄存器主要用来保存操作数和运算结果等信息,从而节省读取操作数所需占用总线和访问存储器的时间。32位CPU有4个32位的通用
修改的canary是否和被修改ebp一样
最新发布
04-23
<think>好的,我现在需要回答用户关于栈中canaryebp的关系,以及修改后的canary是否与ebp相同的问题。首先,我得回顾之前提供的关于栈结构和canary位置的信息。 用户提到他们想了解这两个在栈中的位置关系,以及修改后的canary是否与ebp相同。根据之前的回答,canary位于局部变量之后,而EBP之前。所以他们的位置是相邻的,但属于不同的数据区域。我需要明确说明这一点,确保用户理解它们的位置顺序。 接下来,用户问修改后的canary是否可能与EBP相同。这里需要考虑两者的性质和用途。Canary是随机生成的,用于检测溢出,而EBP是保存的基址指针,指向调用者的栈帧。它们的用途不同,所以即使canary被修改,除非攻击者故意覆盖EBP,否则两者不会相同。我需要解释它们的独立性,并举例说明攻击场景,比如溢出覆盖canary和EBP的情况,但此时两者仍是不同的。 同时,我需要参考用户提供的引用内容。引用1提到canary位于缓冲区和控制信息之间,而引用2和3说明canary的生成机制和安全性。引用4则提到绕过canary的方法,但用户的问题更多关注两者的关系而非绕过。因此,回答应聚焦于位置关系和是否可能相同,而不是深入绕过技术。 需要确保回答结构清晰,分点说明关系和不同点,并引用相关文献支持。同时,生成的相关问题需要与主题相关,帮助用户进一步探索。最后,检查是否符合格式要求,如使用中文、正确LaTeX格式和引用标识。</think>### CanaryEBP在栈中的关系及差异性分析 --- #### **一、内存布局关系** 根据栈帧结构,在x86/x64架构中,**canary**与**EBP/RBP**的布局顺序为(高地址→低地址): $$ \text{局部变量区} \rightarrow \text{canary} \rightarrow \text{保存的EBP} \rightarrow \text{返回地址} $$ 1. **位置相邻但独立** - Canary位于局部变量区与保存的EBP之间,作为**缓冲区与控制数据的分界线**[^1] - EBP(基址指针)是栈帧结构的关键组成部分,用于维护函数调用链 2. **功能差异** - **Canary**:随机生成的防护(如`0x1a2b3c00`),用于检测缓冲区溢出 - **EBP**:保存父函数栈帧的基地址(如`0x7fffffffe3a0`),用于栈帧恢复 --- #### **二、修改后的canaryEBP是否可能相同?** **结论:可能性极低且无必然关联** 1. **生成机制不同** - Canary:程序启动时从**TLS(线程本地存储)**中随机生成(如`fs:0x28`或`gs:0x14`)[^2] - EBP:由编译器在函数调用时动态计算(如`mov ebp, esp`) 2. **修改场景分析** - **缓冲区溢出攻击**中,攻击者需按顺序覆盖: ``` 局部变量 → canary → EBP → 返回地址 ``` - **若canary被修改**:此时EBP尚未被覆盖,两者仍不同(除非攻击者**刻意构造**) - **若EBP修改**:通常发生在覆盖返回地址阶段,此时canary已被破坏,程序已触发`__stack_chk_fail`[^1] 3. **数特性** - Canary最高字节固定为`\x00`(防止字符串操作泄露)[^2] - EBP无固定格式,通常为对齐的栈地址(如`0x7fff...f0`) --- #### **三、典型攻击场景对比** | 攻击目标 | 是否影响EBP | 是否影响Canary | 结果 | |----------------|-------------|----------------|--------------------------| | 覆盖局部变量 | 否 | 否 | 不影响控制流 | | 覆盖Canary | 否 | 是 | 触发栈保护异常 | | 覆盖EBP | 是 | 是 | 程序崩溃或执行流劫持 | --- #### **四、扩展验证(GCC编译示例)** ```c void test() { char buf[16]; // 局部变量 // 编译器插入的canary检查代码 // 汇编示例(x64): // mov rax, QWORD PTR fs:0x28 // mov QWORD PTR [rbp-0x8], rax // canary存储位置 // ... // 函数返回前: // mov rax, QWORD PTR [rbp-0x8] // xor rax, QWORD PTR fs:0x28 // jne __stack_chk_fail } ``` - **关键观察**:canary存储在`rbp-0x8`(64位),而保存的EBP位于`rbp`位置,两者**相邻但独立** --- ### 相关问题 1. **如何通过内存泄露绕过Canary防护?** 2. **修改EBP寄存器会对程序执行流产生哪些影响?** 3. **在ROP攻击中,Canary与EBP各自扮演什么角色?** [^1]: Canary作为缓冲区与控制数据的分界层,其位置设计决定了防护优先级 [^2]: TLS存储机制和Canary生成规则确保了其随机性与不可预测性 [^3]: EBP的栈帧维护功能与Canary的安全检测机制形成互补防护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值