深度理解函数
这篇文章详细以一个简单的Add函数为例,分析了在函数调用过程中栈区的变化情况及相关寄存器的变化情况,并且在通过调用堆区内存的方式在不再调用函数的情况下在Add函数中强行插入另一个函数,有利于对加深理解C语言中函数实现方式的理解。
测试环境:win10 VC6 23位
以下是测试代码
#include<stdio.h>
#include <Windows.h>
int Add(int a, int b)
{
int z = 0;
printf("Add is running!\n");
z = a + b;
return z;
}
int main()
{
int a = 0xaaaaaaaa;
int b = 0xbbbbbbbb;
int c = Add(a, b);
printf("c = %d \n", c);
system("pause");
return 0;
}
分析函数调用
首先,按F11单步调试起来后查看反汇编,可以看到在main函数中对变量的定义:
20: int a = 0xaaaaaaaa;
004010F8 mov dword ptr [ebp-4],0AAAAAAAAh
21: int b = 0xbbbbbbbb;
004010FF mov dword ptr [ebp-8],0BBBBBBBBh同样也可以看到寄存器的值:
EAX = CCCCCCCC EBX = 002C6000
ECX = 00000011 EDX = 025A1680
ESI = 00401340 EDI = 0019FEFC
EIP = 004010F6 ESP = 0019FEE8
EBP = 0019FF40 EFL = 00010212
MM0 = 0000000000000000
MM1 = 0000000000000000
MM2 = 0000000000000000
MM3 = 0000000000000000此时,在栈区形成了一块main函数的栈帧,并在其中相邻的内存中开辟了2个int大小的空间来存储0Xaaaaaaaa和0Xbbbbbbbb。如图:
按F11继续调试
22: int c = Add(a, b);
00401106 mov eax,dword ptr [ebp-8]
00401109 push eax
0040110A mov ecx,dword ptr [ebp-4]
0040110D push ecx
0040110E call @ILT+0(_Add) (00401005)
00401113 add esp,8
00401116 mov dword ptr [ebp-0Ch],eax可以看到在执行 int c = Add(a, b) 时创建了由main函数栈帧中a、b复制而来的两个临时变量放入AX、CX中后将其压入栈,并且顺序是先b后a。原因在于才在调用Add函数传参的时候是先传a,后传b,而C语言对参数的使用顺序是从右往左。
传完参数,接下来就该调用Add函数,我们按F11继续,可以看到 Call Stack 中Add函数出现,意味着此时在栈区形成了一块Add函数的栈帧。 同时IP记录了调用Add函数的下一条命令的地址且入栈,以便于出栈时恢复现场。
具体是怎么实现的呢?
通过汇编语言,可以看到此时BP入栈,然后移动BP到SP的位置,再将SP向下移动44h(这里的44h是Add函数的栈帧大小):
00401030 push ebp
00401031 mov ebp,esp
00401033 sub esp,44h
00401036 push ebx
00401037 push esi
00401038 push edi
00401039 lea edi,[ebp-44h]
0040103C mov ecx,11h
00401041 mov eax,0CCCCCCCCh
00401046 rep stos dword ptr [edi]
接着将BX、SI、DI寄存器的值入栈来保存现场,如图所示:
之后就是对Add函数进行实现:
5: int z = 0;
00401048 mov dword ptr [ebp-4],0
6:
7: printf("Add is running!\n");
0040104F push offset string "Add is running!\n" (0042401c)
00401054 call printf (00401170)
00401059 add esp,4
8: z = a + b;
0040105C mov eax,dword ptr [ebp+8]
0040105F add eax,dword ptr [ebp+0Ch]
00401062 mov dword ptr [ebp-4],eax
9:
10: return z;
00401065 mov eax,dword ptr [ebp-4]
在打印出字符串“Add is running!”后, 将BP向上8个字节的a赋给AX寄存器并加上BP向上12个字节的b,再将结果写入BP向下4个字节的位置(即BX寄存器),执行 return z 时将结果保存至AX寄存器。如图:
此时,退出对Add函数的调用,该恢复现场了: 将Add函数的栈帧中的BX、SI、DI曾经的值逐一出栈并保存到相应寄存器中。此时,Add函数的栈帧已经置空。看汇编:
10: return z;
00401065 mov eax,dword ptr [ebp-4]
11: }
00401068 pop edi
00401069 pop esi
0040106A pop ebx
0040106B add esp,44h
0040106E cmp ebp,esp
00401070 call __chkesp (004011f0)
00401075 mov esp,ebp
00401077 pop ebp
00401078 ret现在,将SP向上移动44h, 即将SP加上44h,这里的44h就是曾经创建Add函数栈帧时SP减去的44h。然后再将BP曾经入栈的值出栈到BP中,此时内存中结构如图所示:
当执行 00401078 ret 命令时,曾经入栈的00401113出栈并为系统提供了执行完Add调用后下一条命令(add esp,8)的地址,此时内存为:
执行 add esp,8 将SP置于main函数栈帧的顶端。
打印完C的值后,清空栈区。
病毒式修改函数参数
即在函数内部,通过一个参数来修改另一个参数,并且不出现后者。举个例子:
Add(x, y) 在函数内部,通过x来修改y的值而不是通过对y做运算的方式。
以下是代码:
#include<stdio.h>
#include <WINDOWS.H>
void myfun(int a, int b)
{
int *p = &a;
printf("修改前\n");
printf("a=%d\n", a);
printf("b=%d\n\n", b);
*(p+1) = 520;
printf("修改后\n");
printf("a=%d\n", a);
printf("b=%d\n\n", b);
}
int main(){
int a = 333;
int b = 666;
myfun(a,b);
return 0;
}运行后的结果为:
修改前
a=333
b=666
修改后
a=333
b=520病毒式调用函数
即在一个函数内部不调用其他函数的情况下使用其他函数。
思路如下:
当调用一个函数时,会先于创建函数的栈帧创建临时变量,并且这些临时变量是从右往左依次创建存于栈中,然后将函数的出口地址也入栈。当函数运行完毕后返回上一级函数前,函数的出口地址会出栈来使函数返回到上一级。据此,我们可以在函数返回前利用指针获取临时变量的地址,再获取到函数的出口地址,就可以让函数返回到我们想插入的函数中去。之后再让插入的函数的出口地址改为原函数的出口地址。
环境为 win10 VC6 23位
#include<stdio.h>
#include <WINDOWS.H>
void *ret = NULL;
void BUG(void)
{
int a = 0;
int *p = &a;
p+=2;
*p = (int)ret;
printf("插入了一个BUG\n");
Sleep(3000);
}
void myfun(int a, int b)
{
int *p = &a;
printf("myfun函数正在运行\n");
ret = *(p-1);
*(p-1) = BUG;
}
int main(){
int a = 333;
int b = 666;
printf("调用myfun函数\n");
myfun(a,b);
__asm
{
sub esp, 4;
}
printf("运行结束\n");
return 0;
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
