本文摘自《Windows驱动开发技术详解》,介绍了Windows驱动程序的PE格式,强调C/C++语言在驱动开发中的使用。讨论了栈的工作原理、函数调用约定如__cdecl和__stdcall的差异,以及驱动程序不能使用编译器运行时函数的原因。此外,还详细讲解了在VC6下配置DDK环境,包括设置Include、Executable files和Library files路径,以及编译和链接选项。文章结尾提到了C和C++编译文件后缀可能导致的问题。
以下内容全部来自《Windows驱动开发技术详解》,作者张帆、史彩成等,属摘抄型笔记。
///
1.Windows驱动程序也是PE格式的文件,但是为了开发方便还是选择C/C++进行编写,编译。
2.栈,当一个函数被调用时,首现压入函数各个参数,然后压入函数返回地址,当函数退出时以相反的顺序依次退出栈,保持堆平衡。
学习数据结构的时候就接触了栈,但是那时候也就是定义一个Type* base; int top;知道一个后进先出,能用来完成括号匹配这些的。
但是真正的计算机中,栈用的非常广,栈在内存是一块特殊的存储空间,它的存储顺序原则是“先进后出”,最先存储的数据最后被释放。
高地址在下,向低地址生长。在汇编中,称esp为堆栈指针寄存器,ebp为基址指针寄存器。
但是为了好理解,这里称之为栈顶指针寄存器,栈底指针寄存器。(ebp-esp)/4+1就是那个int top(+1与否也要看top的定义)。而这一区域也就是所谓的栈帧。
而在逆向中,栈帧可以保存局部变量、函数返回地址、函数参数等。
当函数被调用时,会开辟出该函数所使用的栈空间,形成栈帧。而当函数调用结束后,要进行堆栈平衡,将之前开辟的栈空间归还。
现在写一个空函数,根据之前Blog中说的,跟踪到具体的位置,观察栈是如何进行初始化,如何进行平衡的。
0040EDB0 >/> \55 push ebp ;//进入函数第一件事就是保存之前的栈底指针ebp
0040EDB1 |. 8BEC mov ebp, esp ;//将之前的栈顶指针作为当前栈的栈底指针
0040EDB3 |. 83EC 40 sub esp, 40 ;//将栈顶抬高0x40大小的空间,作为局部变量的存储空间
0040EDB6 |. 53 push ebx ;//由于后续会用到ebx,所以在此进行现场保护
0040EDB7 |. 56 push esi ;//
0040EDB8 |. 57 push edi ;//
0040EDB9 |. 8D7D C0 lea edi, dword ptr [ebp-40] ;//取出栈空间可用的首地址
0040EDBC |. B9 10000000 mov ecx, 10 ;//将循环计数设置为0x10
0040EDC1 |. B8 CCCCCCCC mov eax, CCCCCCCC ;//
0040EDC6 |. F3:AB rep stos dword ptr es:[edi] ;/
最低0.47元/天 解锁文章
3986
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
