我已经用 gcc (gcc -ggdb -mpreferred-stack-boundary=2 -o demo demo.c) 编译了这段代码并反编译了它以查看程序集(我知道它使用了不安全的函数,这是为了练习到缓冲区溢出):
#include<stdio.h>
CanNeverExecute()
{
printf("I can never execute\n");
exit(0);
}
GetInput()
{
char buffer[8];
gets(buffer);
puts(buffer);
}
main()
{
GetInput();
return 0;
}
这是 GetInput() 函数的程序集:
(gdb) disas GetInput
Dump of assembler code for function GetInput:
0x08048432 <+0>: push ebp
0x08048433 <+1>: mov ebp,esp
0x08048435 <+3>: sub esp,0xc
=> 0x08048438 <+6>: lea eax,[ebp-0x8]
0x0804843b <+9>: mov DWORD PTR [esp],eax
0x0804843e <+12>: call 0x8048320 <gets@plt>
0x08048443 <+17>: lea eax,[ebp-0x8]
0x08048446 <+20>: mov DWORD PTR [esp],eax
0x08048449 <+23>: call 0x8048340 <puts@plt>
0x0804844e <+28>: leave
0x0804844f <+29>: ret
End of assembler dump.
这是 Main() 函数的程序集:
(gdb) disas main
Dump of assembler code for function main:
0x08048450 <+0>: push ebp
0x08048451 <+1>: mov ebp,esp
0x08048453 <+3>: call 0x8048432 <GetInput>
0x08048458 <+8>: mov eax,0x0
0x0804845d <+13>: pop ebp
0x0804845e <+14>: ret
End of assembler dump.
我在第 13 行设置了一个断点(gets(buffer))
从 Main() 中,我可以看到 ebp 值被压入堆栈。然后当调用 GetInput() 函数时,ret 地址也被压入堆栈。一旦进入 GetInput 函数,ebp 值将再次压入堆栈。
现在这是我感到困惑的地方:
0x08048435 <+3>: sub esp,0xc
缓冲区变量只有 8 个字节,因此应从 esp 中减去 8 个字节以允许缓冲区局部变量。
堆栈:
(gdb) x/8xw $esp
0xbffff404: 0x08048360 0x0804847b 0x002c3ff4 0xbffff418
0xbffff414: 0x08048458 0xbffff498 0x00147d36 0x00000001
(gdb) x/x &buffer
0xbffff408: 0x0804847b
0x08048458是ret地址,0xbffff418是ebp的旧值,缓冲区变量的4个字节在0x0804847b,所以我猜其他4个字节是0x002c3ff4。但是堆栈上似乎还有另外 4 个字节。
所以我的问题是,如果只需要 8 个字节,为什么要减去 12 个字节?额外的 4 个字节有什么用?
谢谢
最佳答案
这是因为
mov DWORD PTR [esp],eax
显然,您的
puts
和 gets
实现需要将参数压入堆栈。值
[ebp-0xc]
现在实际上是 [esp]
,这就是为什么 dword
被提前保留的原因。为什么会这样?这样做效率更高,因为您不必
pop
和 push
,而只需在 eax
上移动 [esp]
,这样您就可以节省至少一条指令。不过,我猜这段代码经过了一些优化,因为这个很聪明。关于gcc - x86 asm - 从 esp 中减去 12 个字节。只需要8个,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/30723004/