测试程序:
//test.c#include"stdio.h"
#include"string.h"
class GSVirtual
{
public:
void gsv(char *src)
{
char buf[200];
strcpy(buf,src);
vir2();
}
virtual void vir1()
{
printf("vir1");
}
virtual void vir2()
{
printf("vir2");
}
};
int main(int argc,char *argv[])
{
GSVirtual test;
test.gsv(argv[1]);
return 0;
}
$g++ -o vtabletest ./vtabletest.c
在ida下查看vtabletest的反汇编,找到关键函数点 gsv(char *src):
该函数中调用了虚函数vir2(),虽然gsv显示只有一个参数,但是实际上默认还有另一个参数:虚指针,查看调用gsv时,参数入栈可发现,有两个参数入栈:
然后,我们回到gsv函数中,其中首先分配了当前栈帧空间:
.text:08048538 55 push ebp
.text:08048539 89 E5 mov ebp, esp
.text:0804853B 81 EC F8 00 00 00 sub esp, 0F8h
.text:08048539 89 E5 mov ebp, esp
.text:0804853B 81 EC F8 00 00 00 sub esp, 0F8h
然后,将第一个参数复制到当前栈帧中:注意这个参数就是虚指针的地址(一般在上一个函数的栈帧中)
.text:08048541 8B 45 08 mov eax, [ebp+arg_0] //arg0=8
.text:08048544 89 85 24 FF FF FF mov [ebp+var_DC], eax //var_DC=-0XDC
.text:08048544 89 85 24 FF FF FF mov [ebp+var_DC], eax //var_DC=-0XDC
后面,函数会分配函数的局部变量的栈帧中的位置,然后执行strcpy(buf,src)
然后调用虚函数vir2(),我们主要来分析这一段代码:
.text:08048576 8B 85 24 FF FF FF mov eax, [ebp+var_DC] //将虚指针地址赋值给eax
.text:0804857C 8B 00 mov eax, [eax] //提取虚指针内存地址中的虚表入口地址,一般在.rodata中
.text:0804857C 8B 00 mov eax, [eax] //提取虚指针内存地址中的虚表入口地址,一般在.rodata中
.text:0804857E 83 C0 04 add eax, 4 //由于调用的是vir2(),因此,该虚函数地址在虚表中的位置偏移4*1 bytes
.text:08048581 8B 10 mov edx, [eax] //提取vir2()虚函数的入口地址
.text:08048583 8B 85 24 FF FF FF mov eax, [ebp+var_DC]
.text:08048589 89 04 24 mov [esp], eax //虚指针继续入栈,可视为为下一个函数调用的参数
.text:0804858C FF D2 call edx //调用vir2()
.text:08048581 8B 10 mov edx, [eax] //提取vir2()虚函数的入口地址
.text:08048583 8B 85 24 FF FF FF mov eax, [ebp+var_DC]
.text:08048589 89 04 24 mov [esp], eax //虚指针继续入栈,可视为为下一个函数调用的参数
.text:0804858C FF D2 call edx //调用vir2()
在linux中,用gdb调试:
在0x8048576处下断点后,查看相关内存信息:
可对照ida下的汇编代码看,ebp+8和ebp-0xdc 存储的都是虚指针地址0xbffff2dc 在上一个函数的栈帧中
虚指针指向地址0x80486c8,即虚表地址
虚表中按顺序存储了每个虚函数的入口地址。
0x80485a2 和0x80485b6分别就是虚函数vir1()和vir2()的地址:
扫一扫
966
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
