上周末看了段自杀代码,用堆栈实现的,仔细研读了大半天,不解。今天饭后,灵感突发,恍然大悟。堆栈执行代码格式如下:
__asm
{
push 第四个函数参数;
push 第五个函数地址;
push 第三个函数参数;
push 第四个函数地址;
push 第二个函数参数;
push 第三个函数地址;
push 第一个函数参数;
push 第二个函数地址;
push 第一个函数地址;
ret;
}
这样的格式是由于Win32的WINAPI调用规则决定的。当执行(注意,不是调用,调用会保护现场,这里不会,所以必须自己构造现场)第一个函数时,它的返回地址保存在栈的上一个位置,也就是第二个函数的地址。紧接着是第一个函数的参数。当第一个函数返回时,会执行第二个函数,这时堆栈顶部必须是第三个函数地址作为第二个函数的返回地址,紧接着是第二个函数的参数。同理,接着是第四个函数地址,第三个函数参数,第五个函数地址,第四个函数参数。
理解难度主要集中在构造现场上。Win32中不区分远调用和近调用(可以认为都是近调用),函数调用会自动保存返回地址。堆栈是先进后出顺序执行的,因而需要构造现场。这里注意最后两条指令,一般有两种格式:最后一条是函数的调用函数地址;最后一条是0,倒数第二条是ExitThread。具体功能,不由分明。
__asm
{
push 第四个函数参数;
push 第五个函数地址;
push 第三个函数参数;
push 第四个函数地址;
push 第二个函数参数;
push 第三个函数地址;
push 第一个函数参数;
push 第二个函数地址;
push 第一个函数地址;
ret;
}
这样的格式是由于Win32的WINAPI调用规则决定的。当执行(注意,不是调用,调用会保护现场,这里不会,所以必须自己构造现场)第一个函数时,它的返回地址保存在栈的上一个位置,也就是第二个函数的地址。紧接着是第一个函数的参数。当第一个函数返回时,会执行第二个函数,这时堆栈顶部必须是第三个函数地址作为第二个函数的返回地址,紧接着是第二个函数的参数。同理,接着是第四个函数地址,第三个函数参数,第五个函数地址,第四个函数参数。
理解难度主要集中在构造现场上。Win32中不区分远调用和近调用(可以认为都是近调用),函数调用会自动保存返回地址。堆栈是先进后出顺序执行的,因而需要构造现场。这里注意最后两条指令,一般有两种格式:最后一条是函数的调用函数地址;最后一条是0,倒数第二条是ExitThread。具体功能,不由分明。