汇编级Call Stack的构成

最新推荐文章于 2022-12-08 09:41:39 发布
最新推荐文章于 2022-12-08 09:41:39 发布
阅读量956 收藏
点赞数
分类专栏: Unix 编程 文章标签: 汇编 variables 框架 c gcc 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arrow_pig/article/details/6123003
版权
Posted on 十一月 13, 2008 by arrowpig1979

为什么要学习这么底层的东西,因为能帮助我们分析core文件,从而定位production上的问题。往往我们production或者QA的机器上没有安装GDB,也没有源代码。学会一点基本的汇编知识配合mdb就能帮上大忙。

 

 

先看一个core stack:

-bash-3.00$ g++ -o Test Test.cpp
-bash-3.00$ ./Test
Segmentation Fault (core dumped)
-bash-3.00$ mdb core
Loading modules: [ libc.so.1 ld.so.1 ]
> $C
080476fc _Z9FunctionCPc+0×16(80509dc)
08047718 _Z9FunctionBPc+0×14(80509dc)
08047734 _Z9FunctionAPc+0×14(80509dc)
0804776c main+0x2b(1, 8047790, 8047798)
08047784 _start+0×80(1, 8047870, 0, 8047877, 80478b9, 804795c)

初看一下,_start->main->FunctionA->FunctionB->FunctionC。程序core在FunctionC中。一点都不错,不过而实际上mdb打印出来的call stack的意义是:
_start+0×80是调用main的返回地址,main+0x2b是调用FunctionC的返回地址,_Z9FunctionAPc+0×14是调用FunctionB的返回地址,_Z9FunctionBPc+0×14是调用FunctionC的返回地址,那_Z9FunctionCPc+0×16呢?哈哈,_Z9FunctionCPc+0×16是当前指令地址,在这里表示导致程序core dump的指令地址。

结合反汇编和当前各寄存器的值,可以定位程序崩溃的直接原因:

> _Z9FunctionCPc+0×16::dis
_Z9FunctionCPc+0×16:         movl   $0×64,(%eax)
 ..
movl $0×64,(%eax)试图把立即数100赋值给%eax所指向的地址空间。而这个时候%eax的值是:

> $r
 %cs = 0x003b            %eax = 0×00000000

 

所以造成访问违规而程序崩溃。

为什么mdb能够打印程序调用栈,程序的栈又是张什么样的呢?
先看源代码,在看栈的情况:
int FunctionC(char* str){
    char *my = str;
    int *p   = 0;
    *p = 100;
    return 0;
}

int FunctionB(char* str){
    char *my = str;
    FunctionC(my);
    return 0;
}

int FunctionA(char* str){
    char *my = str;
    FunctionB(my);
    return 0;
}

int main(){
    char *str="arrowpig";
    FunctionA(str);
    return 0;
}

> 080476f8,10/nap
–>低地址 [栈是从高地址往低地址长的,所以实际的调用顺序应该从下往上看]
0x80476f8:
0x80476f8:      0                                           –>FunctionB的局部变量: int *p   = 0;
0x80476fc:      0×8047718                          –>FunctionC的上级函数EBP       
0×8047700:      _Z9FunctionBPc+0×14   –>调用FunctionC的返回地址
0×8047704:      0x80509dc                        –>FunctionC的参数
 0×8047708:      0                                  – >斜体部分似乎是gcc添加的函数调用
0x804770c:      0xfefb0cb8
0×8047710:      1
 0×8047714:      0x80509dc                        –>FunctionB的局部变量: char* my=str;
0×8047718 :      0×8047734                         –>FunctionB的上级函数(也就是FunctionA)的EBP
0x804771c:      _Z9FunctionAPc+0×14   –>调用FunctionB的返回地址
0×8047720:      0x80509dc                        –>FunctionB的参数
 0×8047724:      libgcc_s.so.1`__register_frame_info_bases+0xe  –>斜体部分似乎是gcc添加的函数调用
0×8047728:      0x80508a1
0x804772c:      0
 0×8047730:      0x80509dc     –>FunctionA的局部变量
0×8047734 :      0x804776c      –>FunctionA的上级函数(也就是main)的EBP
0×8047738:      main+0x2b     –>调用FunctionA的返回地址
0x804773c:      0x80509dc     –>FunctionA的参数
 –>高地址

 

 

我们先回忆一下大学时代学汇编语言时的几个基本概念:

  1. 栈是用来存放临时数据的,后进先出。栈的增长方式是从高地址向低地址增长。
  2. EBP是栈基址指针,永远指向栈底(高地址);ESP是栈指针,永远指向栈顶(低地址)。
  3. CALL指令用来调用一个函数。CALL将下一条指令地址压栈,这样函数返回时才能执行下一条指令。
  4. RET用来从函数返回,之前CALL压栈的返回地址从栈中弹出赋给EIP,程序转到CALL前的下一条指令继续运行。
  5. ENTER建立当前函数的栈框架stack frame。
  6. LEAVE释放当前函数的栈框架。

Enter 相当于:
pushl  %ebp
movl   %esp,%ebp

Leave相当于:
movl   %ebp,%esp
popl    %ebp

好,现在我们看一下FunctionA的反汇编代码:

> _Z9FunctionAPc::dis
 _Z9FunctionAPc:                  pushl  %ebp            –>保存上级函数的栈基址EBP
_Z9FunctionAPc+1:               movl   %esp,%ebp   –>完成当前函数的Stack Frame的建立
_Z9FunctionAPc+3:               subl   $0×10,%esp     –>分配16字节用于存放局部变量
_Z9FunctionAPc+6:               movl   0×8(%ebp ),%eax  –> 使用%ebp的正偏移量访问函数参数
_Z9FunctionAPc+9:               movl   %eax,-0×4(%ebp)  –> 使用%ebp的负偏移量访问局部变量
_Z9FunctionAPc+0xc:            pushl  -0×4(%ebp)          –> 下级函数的参数压栈
_Z9FunctionAPc+0xf:             call   -0x2d    <_Z9FunctionBPc>  –>调用下级函数
_Z9FunctionAPc+0×14:           addl   $0×4,%esp           –>C的调用规范由主调函数负责从堆栈清理参数
_Z9FunctionAPc+0×17:           movl   $0×0,%eax   –>%eax存放函数返回值: return 0;
_Z9FunctionAPc+0x1c:           leave                   –> 释放 stack frame
_Z9FunctionAPc+0x1d:           ret                      –> 弹出返回地址,从而继续执行

  1. 使用EBP我们可以找到上级函数的栈基址,调试器就是通过它打印call stack的。
  2. 使用subl $0xXX, %esp 分配局部变量空间。
  3. 使用%ebp的正偏移量访问函数参数。
  4. 使用%ebp的负偏移量访问局部变量。
  5. 函数返回值存在%eax中。

比如我们想看一下FunctionA的局部变量的值,我们知道这是一个字符串:
> 0x80509dc/S
0x80509dc:      arrowpig

最后,我摘抄一下网上一篇名为:《x86汇编语言学习手记》里面的一张图作为参考:

假如函数A调用函数B,函数B调用函数C ,则函数栈框架及调用关系如下图所示:

       +———————-+—-> 高地址
       | EIP (上级函数返回地址)  |  
       +———————-+  
  +–> | EBP (上级函数的EBP)  | –+     <—- 当前函数A的EBP (即STP框架指针)
  |    +———————-+   +–>偏移量A   
  |    | Local Variables           |   |
  |    |    ……….                  | –+<—ESP指向函数A新分配的局部变量,局部变量可以通过A的ebp-偏移量A访问  
  | f  +———————-+
  | r  | Arg n(函数B的第n个参数)|
  | a  +———————-+
  | m | Arg .(函数B的第.个参数) |
  | e  +———————-+
  |    | Arg 1(函数B的第1个参数) |
  | o  +———————-+
  | f  | Arg 0(函数B的第0个参数) |   –+   <—— B函数的参数可以由B的ebp+偏移量B访问
  |    +———————-+     +–> 偏移量B
  | A  | EIP (A函数的返回地址)   |     |
  |    +———————-+   –+
  +—| EBP (A函数的EBP)      |<–+  <—— 当前函数B的EBP (即STP框架指针)
       +———————-+   |
       | Local Variables      |   |
       |    ……….        |   |  <—— ESP指向函数B新分配的局部变量
       +———————-+   |
       | Arg n(函数C的第n个参数) |   |
       +———————-+   |
       | Arg .(函数C的第.个参数) |   |
       +———————-+   +–> frame of B
       | Arg 1(函数C的第1个参数) |   |
       +———————-+   |
       | Arg 0(函数C的第0个参数) |   |
       +———————-+   |
       | EIP (B函数的返回地址)   |   |
       +———————-+   |
+–> | EBP (B函数的EBP)      |—+  <—— 当前函数C的EBP (即STP框架指针)
|     +———————-+
|     | Local Variables      |
|     |    ……….        |      <—— ESP指向函数C新分配的局部变量
|     +———————-+—-> 低地址

 

 

arrow_pig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux下ARM堆栈解析
06-04
Linux trace arm call stacks
汇编_stack的使用
一只懒猫的博客
09-15 2800
如果要将一些数字按照原来的顺序逆序存放,一般就用到栈了。 第一种实现方法不太常用,一般是将栈和数据定义到一个段里面。 assume cs:code code segment dw 1234h,5678h;定义数据 dw 0,0;定义栈段 s :mov ax, cs add ax, 4 mov ss, ax;定义栈段 mov sp, 8;定义栈底,留心内存溢出,不要上溢到数据段 mov bx, 0 mov cx, 2;设置循环次数 s0: push c
汇编--学习笔记(九)-堆栈
热门推荐
似水流年
05-25 1万+
堆栈:“先进后出”的存储区,存在于堆栈段中,SP在任何时候都指向栈顶。一、PUSH指令(字入栈)1、格式:PUSH 源操作数(字)PUSH AX ;AX进栈2、功能 (1)首先将栈顶指针减2,即(SP)-2=>SP; (2)然后将源操作数(字)=>((SP)+1,(SP))。(高字节,低字节) 即执行操作: (SP)<– (SP)-2 ((SP)+1,(SP)) <– (源操作数)
计算机中的堆栈
qq_46523260的博客
06-20 5180
堆栈基本内容 1、堆栈的定义 • 堆栈是一个特定的存储区或寄存器,它的一端是固定的(栈底),另一端是浮动的(栈顶),主要用于函数调用、中断切换时保存和恢复现场数据及局部变量的临时保存。 • 所有的数据存入或取出,只能在浮动的一端(称栈顶)进行,严格按照“先进后出”(FILO—First-In/Last-Out)的原则存取,位于其中间的元素,必须在其栈上部(后进栈者)诸元素逐个移出后才能取出 • 在内存储器(随机存储器)中开辟一个区域作为堆栈,叫软件堆栈;用寄存器构成的堆栈,叫硬件堆栈。 • 单片机应用中,堆
汇编语言入门教程(堆、栈、寄存器和内存模型)
蓝色鲜橙多的博客
04-20 4750
作者:阮一峰 链接:http://www.ruanyifeng.com/blog/2018/01/ 学习编程其实就是学高语言,即那些为人类设计的计算机语言。 但是,计算机不理解高语言,必须通过编译器转成二进制代码,才能运行。学会高语言,并不等于理解计算机实际的运行步骤。 计算机真正能够理解的是低语言,它专门用来控制硬件。汇编语言就是低语言,直接描述/控制 CPU 的运行。如果你想了解 ...
汇编segment伪指令
星河Dac
11-08 1万+
segment是段,是段定义的伪指令。在汇编中有数据段,代码段,堆栈段和附加段 [格式] segment_name SEGMENT 【定位类型】 【组合类型】 【类别名】 ···;here is your code segment ends 注:【】都是在英文输入法下的符号,此处无法打出所以才用了中文状态下的【】 参数解释: 【定位类型】 指明段开始的边界,如para,它使段定位在小段的边界,段...
谁在CALL我 -- callstack的实现原理
国产开源 GUI 引擎 AWTK
12-13 1万+
 转载时请注明出处和作者联系方式作者联系方式:李先静 开发嵌入式软件通常是比较麻烦的事,一些常用的工具往往无法使用,在开发PC软件时简单的任务,此时变得很复杂。今天就遇到了这样一件事,折腾了几个小时,仅仅是为知道call stack。我编译了一个程序放到PDA(ARM9+LINUX+UCLIBC)上面运行,出现了一个ASSERT,并显示了文件名和行号,原来是调用了一个没有实现的函数,我很想知道
Android 堆栈攻击之 ARM 栈分析 + ARM汇编解读
一只狍子的博客
05-18 924
想要劫持ARM 处理器,让它执行你想要的代码,从 ARM 栈攻击(Buffer overrun)入手,分析 ARM 栈溢出的原理,利用 ARM 汇编作为跳板指令,执行攻击程序。1. 栈 (Stack)介绍栈结构的文章网上很多,摘取一篇作为参考:http://hi.baidu.com/trical/item/585a24087f9b1a036c9048f0对ARM堆栈的理解      堆栈严格来说应...
如何正确理解call stack 和heap
weixin_43088960的博客
12-08 668
如何正确理解call stack 和heap
汇编(四)初识堆栈
weixin_51555115的博客
04-26 1829
堆栈和汇编指令延伸 简单初步理解堆栈: 1、就是一块内存,操作系统在程序启动时候就分配好的,供程序执行使用。 2、很重要就对了!对底层安全尤为重要,需要认真学。 3、堆栈是程序执行所用,从下往上使用,如果堆栈用完,会“堆栈溢出”程序也会崩溃。 4、栈指针寄存器(ESP):指向当前栈的地址,可以右键选择“flow” 堆栈使用 mov指令 我们仍可以继续使用mov指令往堆栈中存入数据,具体操作如下: 1、首先在ESP指针定位到目前栈的位置。 2、使用mov指令存入数据。 3、使用sub指令更改ESP指向地址。
调用栈 (Call Stack)
zeroom的技术专栏
08-14 5033
调用栈的英文叫做call stack,从其英文书名来看,知道它本身就是一个栈,故而它满足栈的先入后出的特性。 wiki上有篇文章讲述call stack。 关于栈的溢出(stack overflow),有下面的定义: Since the call stack is organized as a stack, the caller pushes the return addre
ARM的栈与栈指令
wwwlyj123321的博客
06-19 5103
一、定义:栈(Stack)是限定仅在一端进行插入或删除操作的线性表。因此,对栈来说,可以进行插入或删除操作的一端端称为栈顶(top),相应地,另一端称为栈底(bottom)。不含元素的空表称为空栈。由于堆栈只允许在一端进行操作,因而按照后进先出(LIFO-Last In First Out)的原理运作。从栈顶的定义来看,栈顶的位置是可变的。空栈时,栈顶和栈底重合;满栈时,栈顶离栈底最远。ARM为堆...
arm/arm64函数栈帧(stackframe)结构和传参规则
GetnextWindow的专栏
08-20 4346
本文汇编代码的平台及编译器:arm/gcc。分析函数调用栈的规则对于理解程序运行基本原理很有帮助,汇编代码分析crash问题也大有裨益。本文示例代码通过C语言函数调用一个汇编函数,再从汇编函数跳转回C函数,分析该示例的汇编代码就可以stack frame的创建和arm函数调用的传参规则。arm32使用哪些寄存器传参,如果参数超过4个怎么传参?arm32/gcc中函数调用stack frame的创建,以及函数返回stack frame的销毁过程是怎样的?
浅谈汇编——堆栈指令
huangyimo的专栏
06-16 5620
现今的CPU中都有栈的设计。8086CPU提供相关的指令来以栈的方式访问内存空间。这意味着,我们在基于8086CPU编程的时候,可以将一段内存当作栈来使用。 8086CPU提供入栈和出栈指令: (最基本的) PUSH(入栈) push ax:将寄存器ax中的数据送入栈中; POP (出栈) pop ax :从栈顶取出数据送入ax。 8086CPU的入栈和出栈操作都是以字(两个字节)为单...
arm平台的调用栈回溯(backtrace)
weixin_30270561的博客
09-25 5192
title: arm平台的调用栈回溯(backtrace) date: 2018-09-19 16:07:47 tags: --- 介绍 arm平台的调用栈与x86平台的调用栈大致相同,稍微有些区别,主要在于栈帧的压栈内容和传参方式不同。在arm平台的不同程序,采用的编译选项不同,程序运行期间的栈帧也会不同。有些工具在对arm的调用栈回溯时,可能会遇到无法回溯的情况。例如gdb在使用bt查看co...
dump所有cpu的callstack
jason的笔记
11-23 3048
可以通过 static inline bool trigger_all_cpu_backtrace(void) { arch_trigger_cpumask_backtrace(cpu_online_mask, false); return true; } 来让所有的cpu 打印当前的callstack 这个函数是平台相关的,目前4.14的kernel arm 有实现这个函数,但是arm64
(32位汇编 七)堆栈/栈(stack
CodingJourney
10-13 1302
PUSH指令 操作码 操作数 PUSH r32 PUSH r16 PUSH m16 PUSH m32 PUSH imm8/imm16/imm32 POP指令 操作码 操作数 POP r32 POP r16 POP m16 POP m32 PUSHAD指令 保护现场 POPAD指令 恢复现场
微机原理汇编语言CALL
最新发布
12-03
CALL是汇编语言中的一种指令,用于调用一个子程序或函数。它的作用是将当前程序执行的地址压入堆栈中,并跳转到指定的子程序或函数的入口地址执行。当子程序或函数执行完毕后,使用RET指令返回到CALL指令的下一条指令继续执行。 下面是一个CALL指令的示例: ```assembly CALL sub_program ``` 其中,sub_program是一个子程序或函数的入口地址。 下面是一个完整的示例程序,它调用了一个名为print_string的子程序,该子程序用于在屏幕上输出一个字符串: ```assembly .MODEL SMALL .STACK 100H .DATA message DB 'Hello, world!', '$' .CODE MAIN PROC MOV AX, @DATA MOV DS, AX CALL print_string MOV AH, 4CH INT 21H MAIN ENDP print_string PROC MOV AH, 09H LEA DX, message INT 21H RET print_string ENDP END MAIN ``` 在上面的程序中,CALL指令用于调用print_string子程序,该子程序用于在屏幕上输出一个字符串。在调用子程序之前,需要将DS寄存器设置为数据段的基地址,以便能够正确地访问数据段中的变量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值