【逆向学习记录】x86-64栈帧及跳转

最新推荐文章于 2025-02-09 16:01:34 发布

卦星

最新推荐文章于 2025-02-09 16:01:34 发布

阅读量1k

点赞数 2

分类专栏：逆向学习记录文章标签： 64位栈帧堆栈函数跳转

本文链接：https://blog.youkuaiyun.com/zhy025907/article/details/85923242

版权

本文详细介绍了64位系统中x86-64架构的栈帧建立、函数跳转过程，通过gdb调试展示了从main函数开始执行，到函数调用、返回的堆栈变化。在函数调用时，RIP被压栈，RBP仍用作栈帧指针。64位下函数参数传递通过寄存器和堆栈结合的方式，与32位有所不同。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.概述

32位寄存器的堆栈和64位的寄存器的函数堆栈，还是有较大的差别的，这里准备花两篇文章好好学习温习一下，防止在不做技术的路上越忘越远，因此尽量写的详细简单，本文主要是64位寄存器的堆栈图，调试系统为ubuntu 16.04（64位）
具体堆栈图的画法，我是偶尔在网易云课堂学习的一节课（堆栈图），使用excel表格画图，也挺形象的，
64位的作图，原则上要采用8个字节的，因为要与上一篇文章进行对比，所以依然采用的是4个字节（int型的数据）

2.源代码及其汇编

源代码

#include<stdio.h>
int sum(int a,int b) {
   
    return a+b;
}
int main(){
   
    int i = 1;
    int j

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

卦星

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

x86_64栈帧结构

sp859的博客

11-13

919

x86_64栈帧 //============================================================================ // Name : test.cpp // Author : // Version : // Copyright : Your copyright notice // Descripti

【逆向学习记录】x86-32栈帧及跳转

卦星的专栏

01-06

732

1.概述 32位寄存器的堆栈和64位的寄存器的函数堆栈，还是有较大的差别的，这里准备花两篇文章好好学习温习一下，防止在不做技术的路上越忘越远，因此尽量写的详细简单，本文主要是32位寄存器的堆栈图具体堆栈图的画法，我是偶尔在网易云课堂学习的一节课（堆栈图），使用excel表格画图，也挺形象的 2.源代码及其汇编源代码这里使用了一个非常简单的案例做源函数，方便分析： #include&amp;amp;amp;lt;st...

参与评论您还未登录，请先登录后发表或查看评论

x86汇编系统的跳转指令

11-23

列出了x86平台中跳转指令详细集合，可作为查询文本使用

X86-64寄存器和栈帧

beckdon的专栏

04-02

2447

http://www.searchtb.com/2013/03/x86-64_register_and_function_frame.html 概要说到x86-64，总不免要说说AMD的牛逼，x86-64是x86系列中集大成者，继承了向后兼容的优良传统，最早由AMD公司提出，代号AMD64；正是由于能向后兼容，AMD公司打了一场漂亮翻身战。导致Intel不得不转而生产兼容AM

Windows x64 栈帧结构

weixin_30748995的博客

08-07

416

0x01 前言　　Windows 64位下函数调用约定变为了快速调用约定，前4个参数采用rcx、rdx、r8、r9传递，多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析，分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL，就是前4个参数依次用rcx,rdx,r8,r...

从汇编层看64位程序运行——栈帧(Stack Frame)边界

方亮的专栏

07-13

1156

在中，我们简单介绍了栈帧的概念，以及它和函数调用之间的关系。如文中所述，栈帧是一种虚拟的概念，它表达了一个执行中的函数的栈空间区域。在这个区域中，该函数的局部非静态变量便被置于这个空间中，即我们常常说起的栈上变量。那么这个区间是通过什么划分的？这就需要引入寄存器这个概念。寄存器（Register）是中央处理器内用来暂存指令、数据和地址的存储器。寄存器的存贮容量有限，读写速度非常快。在计算机体系结构里，寄存器存储在已知时间点所作计算的中间结果，通过快速地访问数据来加速计算机程序的执行。需要注意的是，

x86-64 下函数调用及栈帧原理

最新发布

helin2020的博客

02-09

1583

冯·诺依曼架构模糊了代码与数据的界限，在代码节中可能穿插跳转表，常量池（ARM），普通常量数据，恶意的干扰数据。汇编过程中，label 信息会丢失，因为 label 标识跳转位置，决定程序执行时可能执行到的位置，即汇编语句的起始位置，所以需要还原正确的 label。每次函数被调用时，程序从栈上分配一段空间，作为存储局部变量的区域，同时产生存储返回地址的区域和参数的区域。一个函数中每个局部变量相对于该函数栈帧的偏移都是固定的，所以引入一个寄存器专门存储当前栈帧的位置，即 ebp 帧指针。

逆向学习笔记（一）

Life_hes_az的博客

11-14

2917

本人从开始学习逆向已经有一段时间了，感觉逆向是一门很深的学问，需要长时间的积累和足够的耐心和细心。下面是我个人的一些总结，还请大家指点。学习逆向是需要一定的汇编基础，学习汇编就想是学习一门外语，它的指令就像是单词一样，只有理解了这些单词的意思才可以理解汇编的代码的含义，由于汇编器/反汇编器的不同，现在x86汇编代码主要分为Intel和AT&T汇编，这两者在语法方面存在一定的差异，建议先从Inte

linux 64位函数栈帧回溯,也谈栈和栈帧(二)续——x86栈帧布局实践

weixin_36483050的博客

05-04

541

[原创文章不易，转载请注明出处链接]通过一个简单实用的程序实例和调试过程，打印出变量和代码在内存中的分配位置，分析x86架构CPU下程序运行时汇编级指令的表现，并推导出各级调用函数的栈帧内存布局。1. 打印内存布局示例程序源代码如下所示。1 #include 2 #include 3 #include 45 int gb = 0x50505050;6 char *gb_string = "/bin...

浅谈64位进程远程hook技术及64模块导出表的一些变化，附源码-易语言

06-11

本人使用易语言也有10几年时间，至今留下来的也只是一些怀念和情节，还记得上一次在本论坛发帖是在10年前，期间也只是零星来论坛看看。平常使用也纯属兴趣爱好，并非科班出身，一些见解如若有误，忘大神包含。我们知道目前易语言是支持32位编译，后期估计也不会有所改善了，这似乎已经成为一门被放弃的失败品。既然如此面对如今64位系统的普及，易语言爱好者面对64位程序的操作层面上就显得有些无奈和悲哀。好在有着一些执着的爱好者不想放弃，依然在鼓励解决这些问题，如本论坛的一个开源模块WOW64Ext，就为易语言操作64位模块进程提供了一些基本的封装，本人也借此基础上封装了几个功能，作为进一步扩展，有兴许的朋友可以继续完善。一：浅谈64位进程远程hook技术关于HOOK这个话题，网络上铺天盖地并无新鲜，故在此我就不讲述什么是HOOK这些无聊话题了，本文主要阐述一些64位下远程HOOK与32位的主要区别。首先我们来看看要实现一个远程HOOK的构成顺序：1：在目标进程申请内存空间，存放我们截断后的穿插代码与HOOK原代码2：修改HOOK目标位置的指令为跳转至1申请的内存空间中3：穿插代码中把我们需要的寄存器或其他通过通讯手段传达到我们程序的回调接口中去，在这个过程中如果只需要取值，穿插代码不需要等待，如果需要修改生效，穿插代码需要等待回调接口的返回，并把修改内容写回。4：穿插代码最后跳回到HOOK位置长度的下一跳指令，或指定的位置。5：完成整个HOOK过程了解了整个过程看上去似乎很简单，确实要做到这个过程是不难的，只是要做到相对完美要考虑的情况有很多。比如对跳转使用的选择情况：HOOK跳转代码肯定是越短越好，像32位JMP跳转只需要5字节即可，但是在64位进程中情况确截然不同。32位进程寻址能力为4字节，而64位进程寻址能力变成了8字节，然而64位汇编中所有的跳转直接寻址只支持4字节，这在32位中当然不是什么问题，因为32位最大寻址本来就不会超越4字节，不存在超限的说法：但64位中想要达到长转移，必须借用寄存器或地址偏移，那么一般在64位中HOOK的跳转代码在不影响寄存器的情况下一般使用如下办法FFFFFFFFFFFFFFFF作为跳转目标地址：为了不影响寄存器必须提前压入一个寄存器 --------------------------Push raxMov rax, FFFFFFFFFFFFFFFF JMP rax 或 call rax 在内部要取回rax ，这里注意JMP和call的区别，最后平栈 -------------------------- Push rax Mov rax,FFFFFFFFFFFFFFFF Push rax Ret 在内部要取回rax ，最后平栈有的朋友看到这要问了我不能直接 JMP FFFFFFFFFFFFFFFF或者 push FFFFFFFFFFFFFFFF 啊，您要这么问，我实在不知如何回答你，表示无语，您还是直接下个源码玩玩算了。其他类似的列子我就不一一举例了，总结也是差不多形态，以上列子共占用13字节长度，这还是堆栈放在了内部平，否则还要+1个字节长度，如果放弃其中一个寄存器可以-1个字节长度，所以一般网上现有的64位hook一般都在12字节以上，但是一个好用的hook要占用13字节的长度，对我而言无疑无法忍受，难道真的没有其他办法了吗，要保护寄存器且支持长转移，是不是还有其他办法，那么其实是有办法的，就是通过JMP [rip] 机器码形态为 FF 25 00 00 00 00 这句代码占用6字节，那么这是什么意思呢 FF 25 = jmp ，00 00 00 00为偏移长度对一个支持2G的字节转移长度，JMP [rip]在调试器中可以解释为 jmp qword ptr ds:[0x地址]，对了，也就是读取这个偏移位置中的8字节数值作为跳转地址转移过去，如果偏移为00 00 00 00 那么就代表 JMP [rip]的下一条指令处8字节数据。想到这你也许会问那么这个意思不就是JMP [rip]6字节+8字节长度吗，对如果是连起来确实如此，但是我们可以给他个偏移啊，不就可以分开了吗，我们只需要搜索同模块的其他位置中00或CC等连续8字节无用代码位置，把跳转的地址写入其中，那么JMP [rip]就可以通过偏移读取到跳转地址了。我们也就能实现6字节的HOOK，这个方式的亮点是改写长度小，且不影响寄存器和rsp堆栈指针，也算是达到曲线救国的目的。比如对穿插代码中数据传递的问题：我们要获得16个通用寄存器RAX—R15的每个值，这些值我们又如何传递过去。一般远程HOOK数据传递使用消息或者远线程，因为这两种方式汇编改写量小一点，相对容易实现，在这我们不讨论远线程，我们来看看消息传递，一般是两个函数的选

HOOK 完美支持x86/x64

05-24

完美支持x86、x64，调用方式灵活，x64下可以支持 5字节跳转，12字节跳转，14字节跳转，配合 HookApp 内核注入驱动使用，能达到做好的效果。

逆向一个最简单的函数

weixin_40442110的博客

01-15

242

逆向一个最简单的函数，返回预定常亮应该够简单了。 C/C++代码： int f() { return 123; }; 0x01 x86 开启优化功能后，GCC编译器的汇编代码如下： f: mov eax,123 ret 这个函数只是两条指令构成：第一条指令把数值123存放到eax寄存器中；再根据函数调用约定，后面一条指令会把eax的值当做返回值传递给调用者主函数，调用者（Calle...

win_x86 下的一些跳转指令

商少

08-18

1420

#include <windows.h> #include <stdio.h> #include <tchar.h> int main() { /*UCHAR ShellCode[] ={0xB8,0xAD,0x23,0x86,0x7C,0x6A,0x01,0x90,0x68,0x56, 0x23,0x00,0x00,0xFF,0xD0,0xEB,0x0A,0x90,0x90,

x86、x64栈结构图示

m0_49959202的博客

08-23

1424

文章目录x86、x64栈结构图示1. x86栈结构图示2. x64栈结构图示 x86、x64栈结构图示 1. x86栈结构图示 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zqloONwc-1629648303940)(https://i.loli.net/2021/08/19/thRPXsiWA5a1gE9.png)] 2. x64栈结构图示基本和x86下一样，但是传参方式发生改变：在64位程序中，函数的前6各参数是通过寄存器传递的： rdi作为第一个参数 rsi作为

64位汇编跳转，64位HOOK

qq_36570644的博客

04-22

3895

传统JMP 只支持32位的程序， 64位程序的地址有 8个字节，直接JMP只支持4个字节,跳转的地址和HOOK地址相减超过4个字节就会出错了在64位可以这样跳， push rax 保存寄存器 mov rax,目标绝对地址 jmp rax pop rax 还原寄存器很简单，如果你分配的内存地址是64位的话。如: 504BEA0000, 根据我帖子里的回复，你可以这样方...

x86-64平台栈帧结构与ARM64栈帧结构对比

程序猿Ricky的日常干货

08-24

2464

x86-64 ARM64 差异点 ARM64平台上的栈帧寄存器是FP，它记录的是一个函数执行过程中的栈顶（FP=SP），并且把父函数的FP保存在堆栈的栈顶，以便于回溯 X86-64平台上的栈帧寄存器是RBP，它记录的是一个函数执行过程中的栈底，并且把父函数的RBP位置保存到本函数的栈底，以便于回溯 ...

微软x64常用汇编指令总结

小手琴师的博客

07-07

7018

这里写目录标题lea 直接读取有效地址值ret 函数返回xor 异或add 加法sub 减法inc 自增(increase)jmpcmpjneje lea 直接读取有效地址值 lea eax ,[1001H] lea作用是把中括号里的值存入寄存器里把[1001H]里面的地址赋值给eax,也就是把1001H赋值给eax,执行之后的结果,是 eax = 1001H 等价于 mov eax , 1001H 通常做给c++指针赋值的时候使用这个指令,例如: int a = 3; // mov d

X64 inlineHook 总结

qq_31314583的博客

04-06

1523

Inline hook 常用

ctf 函数调用及栈帧

09-02

CTF（Capture The Flag）是一种信息安全竞赛，通常涉及一系列与安全相关的挑战和问题。在这些挑战中，函数调用及栈帧的深入理解对于解决许多问题至关重要。在计算机程序中，函数调用涉及到栈帧（Stack Frame）的创建和销毁。栈帧是函数调用过程中用于存储函数参数、局部变量以及返回地址等信息的内存区域。具体来说，栈帧的结构通常包含以下几个部分： 1. 参数区域：存放函数调用时传递给函数的参数值。 2. 返回地址：函数执行完毕后，程序需要返回到的地址，通常是调用函数之后的指令地址。 3. 保存的寄存器：保存调用者上下文中的寄存器值，以便函数返回后能够恢复。 4. 局部变量区域：存放函数内部定义的局部变量。 5. 保存的帧指针（可选）：一些系统会使用帧指针来引用当前的栈帧，方便函数调用和变量访问。 6. 栈顶指针：指向当前栈帧顶部的指针。函数调用过程中，一般步骤如下： - 参数准备：调用者将参数准备好，按照约定的方式压入栈中。 - 调用指令：执行调用指令（如x86架构的`CALL`指令），该指令将返回地址压栈，并跳转到被调用函数的入口地址。 - 栈帧建立：被调用函数开始执行后，首先建立自己的栈帧，可能包括设置帧指针和局部变量等。 - 执行函数体：函数体内执行需要的操作，使用栈上的局部变量进行计算。 - 函数返回：当函数执行完毕准备返回时，清理局部变量，恢复之前保存的寄存器状态和栈顶指针，然后执行返回指令（如`RET`指令）回到调用者。在CTF竞赛中，理解栈帧结构和函数调用机制对于逆向工程、二进制分析和漏洞利用等安全相关挑战尤为关键。