push,你到底做了啥事情????

最新推荐文章于 2021-07-27 11:28:52 发布
最新推荐文章于 2021-07-27 11:28:52 发布
阅读量4.4k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dev_duok/article/details/8829812
版权

事情要一件一件来说,就像吃饭要一口一口吃一样。一共有两件事情,这节就先讲push的事情。

问一句,push, what the hell are u doing?

启动bochs,开始push stack之旅。

截取一部分源码:

protect:	
	;[7].进入到保护模式后,为了给予内核最大的访问内存能力,ds段寄存器使用4G段描述符
	;初始化ds
	mov eax, 0x00000008 	
	mov ds, eax
	;初始化堆栈段
	mov eax, 0x00000018	
	mov ss, eax
	xor esp, esp	
	;8.将sector1的kernel代码拷贝到0x040000处的内存中来
	;1)由于目前不知道kernel的代码尺寸,先拷贝一个扇区看看
	;  根据约定,第一个扇区的前4个字节应该就是kernel的总尺寸,可以根据这个尺寸知道后面还要加载多少扇区

	;@input: DI:SI 起始扇区号  DS:BX 写入的内存地址		
	mov ebx, 0x40000 ;段内偏移	
	mov di, 0x0000
	mov si, 0x0001	
	call read_from_harddisk
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;@function read_from_harddisk
;@input: DI:SI 起始扇区号
;@input: DS:BX 写入的内存地址
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;	
[bits 32]
read_from_harddisk:
	push eax
	push ebx
	push ecx
	push edx

目前我所知道的就只有:push eax, 就是把当前的esp值-4,然后把[ss:esp]的内存空间写上eax内这4字节的内容。

看上去挺简单的,但是,事实上就是这么简单吗????

首先先看下整个程序gdt表项,堆栈段位于0x03号选择子,内存扩展方式是expand-down,所以栈底是高位,从0x7c00开始向下扩展

<bochs:5> info gdt
Global Descriptor Table (base=0x0000000000007e00, limit=39):
GDT[0x00]=??? descriptor hi=0x00000000, lo=0x00000000
GDT[0x01]=Data segment, base=0x00000000, limit=0xffffffff, Read/Write
GDT[0x02]=Code segment, base=0x00007c00, limit=0x00000200, Execute-Only, Non-Conforming, 32-bit
GDT[0x03]=Data segment, base=0x00007c00, limit=0xf1000fff, Read/Write, Expand-down
GDT[0x04]=Data segment, base=0x000b8000, limit=0x00008000, Read/Write
You can list individual entries with 'info gdt [NUM]' or groups with 'info gdt [NUM] [NUM]'
<bochs:6>


在保护模式下,下面代码主要就是初始化数据段以及堆栈段寄存器: 

	;[7].进入到保护模式后,为了给予内核最大的访问内存能力,ds段寄存器使用4G段描述符
	;初始化ds
	mov eax, 0x00000008 	
	mov ds, eax
	;初始化堆栈段
	mov eax, 0x00000018	
	mov ss, eax
	xor esp, esp


执行完成后,各个寄存器的值为:注意 esp为0x00000000 

<bochs:18> reg
rax: 0x00000000_00000018 rcx: 0x00000000_00098000
rdx: 0x00000000_00000000 rbx: 0x00000000_0000000b
rsp: 0x00000000_00000000 rbp: 0x00000000_00000000
rsi: 0x00000000_000e7e20 rdi: 0x00000000_00000092
r8 : 0x00000000_00000000 r9 : 0x00000000_00000000
r10: 0x00000000_00000000 r11: 0x00000000_00000000
r12: 0x00000000_00000000 r13: 0x00000000_00000000
r14: 0x00000000_00000000 r15: 0x00000000_00000000
rip: 0x00000000_000000b3
eflags 0x00000046: id vip vif ac vm rf nt IOPL=0 of df if tf sf ZF af PF cf
之后调用函数后,有push动作,那么会进行相关操作的内存区域肯定是<0x7c00,先dump一段内存看看,后面可以做一个push前后比较: 

<bochs:20> xp /40bx 0x7bf0
[bochs]:
0x0000000000007bf0 <bogus+       0>:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x0000000000007bf8 <bogus+       8>:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x0000000000007c00 <bogus+      16>:    0xb8    0x00    0x00    0x8e    0xd8    0xb8    0x00    0x00
0x0000000000007c08 <bogus+      24>:    0xbb    0x00    0x00    0xb9    0x00    0x00    0xba    0x00
0x0000000000007c10 <bogus+      32>:    0x00    0xbf    0x00    0x00    0x8b    0x36    0xf7    0x7d
<bochs:21> s
Next at t=17825139
(0) [0x0000000000007d5f] 0010:000000000000015f (unk. ctxt): push eax                  ; 50
<bochs:22>
Next at t=17825140
(0) [0x0000000000007d60] 0010:0000000000000160 (unk. ctxt): push ebx                  ; 53
<bochs:23>
Next at t=17825141
(0) [0x0000000000007d61] 0010:0000000000000161 (unk. ctxt): push ecx                  ; 51
<bochs:24>
Next at t=17825142
(0) [0x0000000000007d62] 0010:0000000000000162 (unk. ctxt): push edx                  ; 52
<bochs:25>
Next at t=17825143
(0) [0x0000000000007d63] 0010:0000000000000163 (unk. ctxt): mov al, 0x01              ; b001
<bochs:26> xp /60bx 0x7be0
[bochs]:
0x0000000000007be0 <bogus+       0>:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x0000000000007be8 <bogus+       8>:    0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x0000000000007bf0 <bogus+       0>:    0x00    0x80    0x09    0x00    0x00    0x00    0x04    0x00
0x0000000000007bf8 <bogus+       8>:    0x18    0x00    0x00    0x00    0xc5    0x00    0x00    0x00
0x0000000000007c00 <bogus+      16>:    0xb8    0x00    0x00    0x8e    0xd8    0xb8    0x00    0x00
0x0000000000007c08 <bogus+      24>:    0xbb    0x00    0x00    0xb9    0x00    0x00    0xba    0x00
0x0000000000007c10 <bogus+      32>:    0x00    0xbf    0x00    0x00    0x8b    0x36    0xf7    0x7d
<bochs:27> reg
rax: 0x00000000_00000018 rcx: 0x00000000_00098000
rdx: 0x00000000_00000000 rbx: 0x00000000_00040000
rsp: 0x00000000_ffffffec rbp: 0x00000000_00000000
rsi: 0x00000000_000e0001 rdi: 0x00000000_00000000
r8 : 0x00000000_00000000 r9 : 0x00000000_00000000
r10: 0x00000000_00000000 r11: 0x00000000_00000000
r12: 0x00000000_00000000 r13: 0x00000000_00000000
r14: 0x00000000_00000000 r15: 0x00000000_00000000
rip: 0x00000000_00000163
eflags 0x00000046: id vip vif ac vm rf nt IOPL=0 of df if tf sf ZF af PF cf
<bochs:28>


执行完后,可以发现,内存变化如下:标颜色的这四段刚好对应上被push的 eax(0x00000018), ebx(0x00040000), ecx(0x00098000), edx(0x00000000)。可是,起始地址是从0x7c00开始的呀,从0x7bfc - 0x7bff之间还存在4个字节的空位,这个是啥鸟?为啥空了4个字节啊,在缺少系统的学习堆栈原理之前,这空着4个字节让人很匪夷所思。

没有办法的情况下,大胆的猜想是应该的,先看看这4个字节是啥内容吧,具体的值是0x000000c5。


没啥特殊。无奈之下,把编译好的代码打印出来看看吧:

<bochs:20> u /20
00007cb3: (                    ): mov ebx, 0x00040000       ; bb00000400
00007cb8: (                    ): mov di, 0x0000            ; 66bf0000
00007cbc: (                    ): mov si, 0x0001            ; 66be0100
00007cc0: (                    ): call .+154                ; e89a000000
00007cc5: (                    ): mov eax, dword ptr ds:[ebx] ; 8b03
00007cc7: (                    ): mov ecx, 0x00000200       ; b900020000
00007ccc: (                    ): div eax, ecx              ; f7f1
00007cce: (                    ): mov ecx, eax              ; 89c1
00007cd0: (                    ): cmp eax, 0x00000000       ; 83f800
00007cd3: (                    ): jz .+29                   ; 741d
00007cd5: (                    ): cmp edx, 0x00000000       ; 83fa00
00007cd8: (                    ): jnz .+3                   ; 7503
00007cda: (                    ): sub ecx, 0x00000001       ; 83e901
00007cdd: (                    ): add ebx, 0x00000200       ; 81c300020000
00007ce3: (                    ): mov di, 0x0000            ; 66bf0000
00007ce7: (                    ): add si, 0x0001            ; 6683c601
00007ceb: (                    ): call .+111                ; e86f000000
00007cf0: (                    ): loop .-21                 ; e2eb
00007cf2: (                    ): mov eax, dword ptr ds:0x40004 ; a104000400
00007cf7: (                    ): mov ecx, dword ptr ds:0x40008 ; 8b0d08000400
发现有点意思,有一个地方和c5有一点点的相似,那就是下面的最后一行指令的地址:00007cc5,会不会是和这个c5是同样的东西?如果你稍微与实模式打过一些交道,相信你肯定会有这种直觉,那就是不自然的把段基址*10+c5做一个联系。这里的c5应该是和代码段相关的。 

00007cbc: (                    ): mov si, 0x0001            ; 66be0100
00007cc0: (                    ): call .+154                ; e89a000000
00007cc5: (                    ): mov eax, dword ptr ds:[ebx] ; 8b03
而且刚好,sreg一把,发现cs的段基址起始就是0x7c00,那么显而易见,c5就应该是eip的值吧~ 看看:注意cs段的base=0x7c00

是的,那么c5其实就是等于代码段的段内偏移!

<bochs:27> sreg
es:0x0000, dh=0x00009300, dl=0x0000ffff, valid=1
        Data segment, base=0x00000000, limit=0x0000ffff, Read/Write, Accessed
cs:0x0010, dh=0x00409900, dl=0x7c000200, valid=1
        Code segment, base=0x00007c00, limit=0x00000200, Execute-Only, Non-Conforming, Accessed, 32-bit
ss:0x0018, dh=0x00cf9700, dl=0x7c001000, valid=1
        Data segment, base=0x00007c00, limit=0xf1000fff, Read/Write, Expand-down, Accessed
ds:0x0008, dh=0x00cf9300, dl=0x0000ffff, valid=1
        Data segment, base=0x00000000, limit=0xffffffff, Read/Write, Accessed
fs:0x0000, dh=0x00009300, dl=0x0000ffff, valid=1
        Data segment, base=0x00000000, limit=0x0000ffff, Read/Write, Accessed
gs:0x0000, dh=0x00009300, dl=0x0000ffff, valid=1
        Data segment, base=0x00000000, limit=0x0000ffff, Read/Write, Accessed
ldtr:0x0000, dh=0x00008200, dl=0x0000ffff, valid=1
tr:0x0000, dh=0x00008b00, dl=0x0000ffff, valid=1
gdtr:base=0x0000000000007e00, limit=0x27
idtr:base=0x0000000000000000, limit=0x3ff


原归正状:那么从0x7bfc - 0x7bff之间还存在4个字节的空位,而且刚好就是call完后return回来继续执行的代码首地址,那么push eax,你到底还干了啥,这个答案就有了一个比较完整的解释:

push eax干了啥?

1.不用怀疑:肯定就是

sub esp, 4

mov ebx, esp

mov [ss:ebx], eax

2.经过上面验证,在做1之前,他肯定还做了下面这鸟事情:

sub esp, 4

mov ebx, esp

mov [ss:ebx], 返回地址

然后才开始做上面的1.


目前还有一个疑问没有想明白:

进入call之后,你会惊奇的发现,esp由之前的0x0变成了下面的:0xfffffffc。这个值不得了,当然你会说,这个不简单吗,就是数值翻转了嘛,0-4成了负数,变成了0xfffffffc。


<bochs:30> reg
rax: 0x00000000_00000018 rcx: 0x00000000_00098000
rdx: 0x00000000_00000000 rbx: 0x00000000_00040000
rsp: 0x00000000_fffffffc rbp: 0x00000000_00000000
rsi: 0x00000000_000e0001 rdi: 0x00000000_00000000
r8 : 0x00000000_00000000 r9 : 0x00000000_00000000
r10: 0x00000000_00000000 r11: 0x00000000_00000000
r12: 0x00000000_00000000 r13: 0x00000000_00000000
r14: 0x00000000_00000000 r15: 0x00000000_00000000
rip: 0x00000000_0000015f
eflags 0x00000046: id vip vif ac vm rf nt IOPL=0 of df if tf sf ZF af PF cf
<bochs:31>

话是没错,我的疑问是,如果你后面再push一个ebx,那么执行mov [ss:ebx], eax, 这一句,它的实际地址会是啥呀?莫非也会翻转,翻转+翻转 = 正确了? 明天得继续研究下翻转的原理。基础不好,汗一个。。。什么都要从零学起。。。。。


今天就到此为止吧。困了,洗漱、睡觉。

Dev_duok
关注
听说你想去大厂看学妹,带你看看快手产品运营面经长啥样?
wenyusuran的专栏
04-23 1650
前言 金三银四跳槽季,你准备好了吗?希望各位小伙伴能够苦练技术,早日达成自己心仪的offer。 在这里给自己打个广告,需要的小伙伴请自行订阅。 python快速学习实战应用系列课程 https://blog.csdn.net/wenyusuran/category_2239261.html 手把手教你ML机器学习算法源码全解析 https://blog.csdn.net/wenyusuran/category_2239263.html 【一面】 1.自我介绍,实习经历介绍 2.我看你.
android app消息推送,如何进行app消息推送(push)?
weixin_42365334的博客
05-29 4849
1 消息推送消息推送(push),是指运营人员通过自己产品后台或第三方工具对用户移动设备进行的主动消息推送,是厂商主动触达用户的通道。通过消息推送,目标用户可以在移动设备通知和状态栏看到消息通知,唤起用户点击消息去往app页面。平时手机弹出的微信、全球消息等都属于app消息推送。消息推送具有投放精准、成本低廉的优点,能起到提醒沉默用户、提高用户活跃度、增强用户黏性的作用。一般来说,如果当日有推送的...
push翻译计算机,push是什么意思_push翻译_读音_用法_翻译
weixin_31046701的博客
07-27 4714
vipkid提供push是什么意思、push英语单词推荐、push英语解释、push相关词、push英语短语英音 [pʊʃ] 美音 [pʊʃ]【中文释义】vt.& vi. 推,推动;vt. 推动,增加;对…施加压力,逼迫;按;说服;n. 推,决心;大规模攻势;矢志的追求;vi. 推进;增加;努力争取;【英文释义】Noun:the act of applying ...
bloomberg用法 固定收益_干货 | 日语高考高频考点:助词を的用法
weixin_39942992的博客
11-02 296
在日语高考题中,第二大题综合知识运用板块,16-20题固定考察日语的助词的使用。很多同学反映说:高考日语最难学的部分就是助词了。因为中文的结构中是没有助词成分,同时助词的用法也挺多,所以经常容易搞混。日语是黏着语,需要助词作为媒介来连接没有关联的单词。虽然助词的用法很多,并且有的点还比较复杂,但是考法其实相对比较固定。我们在这里整理助词的高频考点,结合例句,帮助同学们加深记忆。「を」的主要用法有两...
push()——深入理解
菜鸟少年的博客
12-07 1万+
数组和类数组 数组是一种特殊的对象,两者本质上没有太大的区别。 类数组是一种长得像数组的对象,数组上的方法他不全都有。
xxx@xxx.com
09-09
lorem ipsm dolor sit amet
监控linux终端键盘输入,Linux内核实时监控键盘输入
weixin_42297675的博客
05-09 570
刚毕业那会儿,VC6学习MFC,总得来点儿好玩的东西才能继续下去,毕竟不是科班出身,得完全靠意义去驱动…那个时候认识了键盘钩子,鼠标钩子之类:https://blog.csdn.net/dog250/article/details/5303610这种方法貌似还可以盗号…只是QQ早就解决了这个问题。不说Windows钩子了,说说Linux系统中如何监控键盘输入,这简直太简单了。关于Linux终端,详...
16. 高级 6: 代码已经 push 上去了才发现写错?1
08-04
这样时要确保你明白这将改变远程分支的历史,且不会影响其他人的工作。 然而,如果错误的内容已经被合并到主分支master,事情就变得复杂了。主分支通常被视为生产就绪的代码,因此直接在master上进行强制push是...
说说你对slot的理解?slot使用场景有哪些?
webblock的博客
12-20 2581
一、slot是什么 在HTML中slot元素,作为Web Components技术套件的一部分,是Web组件内的一个占位符 该占位符可以在后期使用自己的标记语言填充 举个栗子 <template id="element-details-template"> <slot name="element-name">Slot template</slot> </template> <element-details> <span slot="el.
重要的事情说三遍:局部变量一定要初始化!你到了吗?
Hsuesh的博客
10-29 1994
这篇文章主要给大家介绍了关于C语言未初始化的局部变量是多少,文中通过示例代码以及图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习吧。 在演示一个实际代码行为之前,先给出一个知识,CPU不认识变量,更无法识别变量的名字,CPU只会从特定的内存位置取值或者将值存到特定的内存位置,因此当问一个变量的值是多少的时候,必须要知道这个变量对应的值被保存在什么地方。 来看下面的代码: #include <stdio.h> void func1() {.
FOOBAR2000之wasapi
10-14
令foobar音质更好,干扰更小。专门的声音独占程序能够让你在听音乐时不受其他程序声音的干扰
逆向笔记之基础学习(一)
NoOneGroup
02-17 915
逆向笔记之基础学习(一) 博客已搬家,新博客地址 本文笔记均来自于对滴水逆向教程的学习,通过学习教程记录的笔记,个人所见所得。 我感觉滴水课程原理性的讲的蛮好,通过这个来夯实基础。 大纲: 进制学习 数据宽度 二进制的逻辑运算 通用寄存器 常见汇编指令 内存 标志寄存器 堆栈 jcc 进制 学习大纲: 进制的实质就是查表 熟悉2进制跟16进制的转换 熟悉进...
push/pop堆栈指令
weixin_33711641的博客
05-16 3068
堆栈是存储器中专用的缓冲区,用于暂存寄存器数据或地址指针,push/pop就用于堆栈的操作,这两个指令一般用在: 1、子程序调用,为了保护现场,把所要用的寄存器中的内容先暂时保存起来,在子程序调用结束之前,按照先进后出的原则,把数据恢复。 2、有时候,需要临时用一下某些寄存器,也可用一下,凭个人喜好; 这两个指令必须成对使用(特殊用途除外),你只要压入了那些东西,并且知...
curl打开网页403或者302的解决方法(详细总结)
白衣不染尘的博客
12-20 4万+
curl打开网页403或者302的解决方法 这里我以大众点评网为例 1、浏览器访问:http://www.dianping.com/shop/65334856 我们先说说如何查看Headers的信息 (1)打开对应的网站 (2)按F12键打开调试 (3)选择Network (4)按F5刷新网页 (5)然后选择左面名称,一般是第一个数字的 2、直接curl访问 curl -v...
Delphi中参数的传递和函数值的返回
weixin_30492047的博客
12-24 441
关于Delphi中参数的传递和函数值的返回前言:高手们应该早知道了,不屑于写出来而已。真正的高手一个比一个潜的深,只剩下偶这样的小菜写些菜文给更小的菜。高手看时还请捂好大牙,多多指点。不知各位小菜同胞对破解DELPHI程序有什么看法,反正我的感觉就一个字:怪。各位最先遇到的问题恐怕都是:我下了GetDlgItemInt、GetDlgItemText、GetWindowText....怎么什么也...
JavaScript学习笔记:数组(三)【转】
weixin_30561177的博客
05-05 644
JavaScript是一种弱类型语言,不像其它程序语言需要严格定义数据类型。在JavaScript中数组可以任意修改变动,这样也就出现了一个问题,如果边遍历数组边操作数组(比如删除当前项,则所有之后的数组元素下标都将向前移动)是一件很危险的事情。 JavaScript的数组是一个拥有堆栈和队列自身优点的global对象。也就是说JavaScript数组可以表现的像栈(LIFO)和队列(FIFO)...
git push命令详解
热门推荐
loongkingwhat的博客
11-23 8万+
参考文献:http://www.cnblogs.com/dyh-air/p/9257237.html 以上列举的参考文献将的非常棒,是目前我见到的写的最完整的。 git push命令用于将本地分支的更新,推送到远程主机。它的格式与git pull命令相仿。 git push &lt;远程主机名&gt; &lt;本地分支名&gt;:&lt;远程分支名&gt; 注意:这里的:前后是必须没有空格的。 ...
HTML5 WebSocket 入门教程:基于PUSH技术的双向通信
使用 WebSockets,可以实现服务器在早晨自启动并发送数据到客户端,不需要提前建立一些连接端口,这是一件多棒的事情!欢迎来到 PUSH 技术的世界! 在创建 WebSocket 服务器时,可以使用基于 windows7 的 XAMPP 来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值