x86_64汇编中的栈平衡(内平栈外平栈)附od反汇编图解

最新推荐文章于 2024-01-20 12:42:56 发布
最新推荐文章于 2024-01-20 12:42:56 发布
阅读量4.7k 收藏 21
点赞数 10
分类专栏: 汇编 逆向 文章标签: 汇编 栈平衡 内平栈 外平栈 push
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boildoctor/article/details/121181152
版权

目录


本文结合反汇编pc版植物大战僵尸,讲解游戏暂停后恢复call的过程
在这里插入图片描述

首先介绍栈空间用到的寄存器
ESP 栈顶指针 (extended stack pointer)英文直译是:扩展栈指针
EBP 栈底指针 ,指的是本层call子程序的栈底,就是最上层call的栈底。不是整个栈空间的栈底 (extended base pointer)英文直译是扩展基址指针

push 入栈(给call穿参数)

push eax 等价于 sub esp , 4 mov [esp],eax 把eax压入栈等价于 县 让esp栈指针 - 4 ,然后把 eax的值存入到 esp指向的空间里,也就是栈顶空间里

pop 出栈(call 结束后还原eip)

pop eax 等价于 mov eax,[esp] add esp , 4 把栈里的值出栈给eax 。等价于 先把 esp栈顶指向的空间的值 复制给 eax,然后把栈顶指针 + 4

call调用子程序

call 12345678 等价于 push eip jmp 12345678 pop eip (eip中存储着cpu下一条要执行指令的地址)
例如下面的例子,每次要暂停游戏,以后点击返回游戏以后
执行call之后, eip里面的指,要push到栈顶
在这里插入图片描述
栈顶变成了之前eip里面的值
在这里插入图片描述
下图执行到retn语句的时候栈顶刚好就是call语句执行以后push进来的eip的值。这样cpu执行eip的值,就回到了call的下一条语句
在这里插入图片描述

retn 返回

retn 8 等价于 pop eip , add esp ,8 。先把eip出战,这样cpu再执行的eip的值,就是之前call执行以后,执行的push eip的地址了

栈平衡

内平栈

内平栈的特点是通过retn指令 改变esp,让栈平衡
调用call的时候有函数参数,需要push入栈,retn的时候要把栈顶指针esp还原 加地址
例如当植物大战僵尸每次从暂停以后,再返回游戏,调用了下面的call指令

push edx
call 12345678
return 0x4

调用函数有1个参数,那么就要push 一个参数,这里edx作为第一个参数。 然后call 函数地址。再retn的时候会 retn 0x4 . retn 4等价于 pop eip, add esp 4. 先出栈eip ,让cpu指向调用call前的指令,再 add esp 4,是让栈顶指针 +4 ,就是像栈底移动4,原因是因为在调用call之前,有一个 push edx,这额操作让esp 发生改变,等价于 mov [esp],edx sub esp ,4,让esp减去了4,所以 retn 0x4,让esp再加上4,达到栈平衡
如下图反汇编演示了当植物大战僵尸每次从暂停以后,再点击“”返回游戏“”,调用了下面的call指令,(注意左上角的阳光,我已经改了最大阳光上限,不是9990,而是更大,位数显示不全了)
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

外平栈

外平栈的retn 后面不跟着数字,而是在call结束以后在后面 add esp 直接增加 栈顶指针
如下面例子:

push eax
push ecx
call 12345678
add esp 8

call里面的子程序retn 后面不跟数字

这个add esp 8是让栈顶指针加8,因为call 之前 push了2次,eax和ecx长度都是32位,是4字节 4x2 =8 字节,所以最后加8 字节。

截图如下:
在这里插入图片描述

ModuleNotFoundError: No module named ‘_sysconfigdata_x86_64_conda_cos7_linux_gnu‘解决方案
weixin_43178406的博客
09-25 6万+
本文主要介绍了ModuleNotFoundError: No module named '_sysconfigdata_x86_64_conda_cos7_linux_gnu’解决方案,希望能对学习python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
subprocess.CalledProcessError: Command ‘[‘which‘, ‘x86_64-conda_cos6-linux-gnu-c++‘]‘解决方案
热门推荐
weixin_43178406的博客
06-08 8万+
本文主要介绍了subprocess.CalledProcessError: Command '[‘which’, ‘x86_64-conda_cos6-linux-gnu-c++’]'解决方案,希望能对学习python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
x86,32位中为什么要做平衡
devil8123665的博客
03-29 1021
在32位中是通过进行参数传递,正常函数的调用,中要先压入返回地址,再压入ebp。但通过溢出执行相关函数时,只压入ebp,并不压入返回地址,因此函数正常返回时,先后执行,leave,ret,就会多出一次,因此,需要做平衡 正常调用 溢出调用 leave(mov esp,ebp;pop ebp) ebp ebp ret(pop eip) 返回地址 平衡 esp 通过代码调试代码如下: #include &
汇编中的平衡
1匹黑马
02-18 5726
文章目录什么是堆平衡如何进行堆平衡 什么是堆平衡 这里有两种情况: 如果要返回父程序,则当我们在堆中进行堆操作的时候,一定要保证在RET这条指令之前,ESP指向的是压入的我们压入的地址 这句话我是这么理解的,就是当你调用函数的时候,比如使用CALL指令,当使用堆的时候,使用前ESP指向那个地址,使用后RET返回前就必须是那个地址,如果不是那个地址,那么堆就是不平衡的,程序就崩溃了...
汇编】堆平衡内平
qq_52572621的博客
09-07 3995
如果要返父程序,则当我们在堆中进行堆操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入堆中的地址。也就是说我们的call指令调用函数之后,他的下一个地址会push到堆中,我们在函数中无论怎么操作堆,ret返回前堆必须指向的是call指令压入的地址。(这里我们假设函数参数不会操作堆,只是函数内容操作堆) 如果通过堆传递参数,那么函数执行完毕之后,要平衡参数导致的堆变化。
堆空间、空间和堆平衡
张启宇(Joey Zhang)的专栏
07-22 2307
堆(heap)与(stack)是程序存储空间上的一组概念。 应用程序启动时 程序启动时,windows的PE装载器会将PE文件(可执行文件,Unix/Linux 上是ELF)的不同部分的内容装入不同的内存区域。 程序的数据段包括.data段(全局变量)和.rdata段(静态变量和常量)。而PE装载器只能从程序中读出已初始化的全局变量和静态变量,并将它们放在的一段专门的初始化的数据的内存区域上。而未初始化的全局变量和静态变量则存放在一段专门的非初始化数据段的内存区域上开辟空间,并且都被初始
平衡
Helping BIOSer become Awesome!
07-31 381
把stack 比喻成一个公用的书箱,一次只能放一本书, 再放的话就是往第一本书上摞了,假如你放了三本书,你用 完了箱子走人,因为箱子是公用的,你得把箱子还原回原来的样子,你自己或由管理员帮你把箱子还原。你不还原的话,别的人(程序) 就不能用书箱了,否则就乱套了。把这个还原比喻成stack 平衡 push 指令是压 ESP=ESP-4 pop 指令是出 ESP=ESP+4 参...
平衡
weixin_45798017的博客
05-17 2113
含义 如果要返回父程序,则当我们在堆中进行操作时,一定要保证在RET这条指令执行之前,ESP指向的是我们压入堆的地址,也就是堆压入的值中途 可能发生变化,但是在函数执行完得和刚开始的保持一致。 如果通过堆传入参数了,那么在函数执行完毕后,要平衡参数导致的堆变化。 ...
eclipse-jee-mars-R-win32-x86_64位官方绿色版.zip
06-30
Eclipse-jee-mars-R-win32-x86_64位官方绿色版.zip是一个针对Windows台的64位版本的Eclipse集成开发环境(IDE)的压缩包,特别为Java企业级(J2EE)应用程序开发设计。该版本发布于2015年6月30日,是当时Eclipse ...
x86-x64汇编语言、反汇编知识和IDA
最新发布
m0_61634551的博客
01-20 1863
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI顶指针寄存器:ESP底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15顶指针寄存器:RSP底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
平衡(简单main函数演示)
10-29
平衡(简单main函数演示)
adt-bundle-windows-x86_64-中文包
11-04
下面俩个版本都能正常使用: 编译器版本号:adt-bundle-windows-x86_64-20130717 编译器版本号:adt-bundle-windows-x86_64-20130917 汉化方法: 拷贝中文包中的文件到编译器同名目录下
关于pwn64位amd构造payload时的堆平衡问题以及32位与64位构造payload的区别与注意事项
hu_c_t_f的博客
07-24 3781
pwn入门,溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。平衡32位中,没有堆平衡一说,而64位中有。payload中的平衡简单来说,就是要保证payload的字节数是16的倍数。
汇编语言里调用函数的过程和堆平衡问题
qq_35289660的博客
02-22 1085
汇编语言里调用函数的过程和堆平衡问题 文章目录汇编语言里调用函数的过程和堆平衡问题@[toc]1、汇编实例:简单函数调用时堆的变化过程1.调用函数前:传入参数2.调用函数时1.开辟空间(缓存区)2.保存现场3.覆盖缓存区4.执行函数的功能5.恢复现场6.恢复空间7.函数结尾:RENT3.总结2、堆平衡3、IDA堆平衡问题:positive sp value has been found...
pwn06(关于64位程序堆平衡的处理)
Welcome To Myon'Blog !
07-07 1772
平衡: 当我们在堆中进行堆的操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入中的地址,函数执行到ret执行之前,堆顶的地址 一定要是call指令的下一个地址。
内平 与 寄存器传参
keepwalking111的博客
12-16 1482
#include "stdio.h" int _stdcall fun1(int a,int b) //内平 { int c; c=a+b; return 0; } int _cdecl fun(int a,int b) //,不加关键词 “_cdecl”,默认也是 { int c; c=a+b; return 0; } int main() { int a; a=fun(1,2); fun1(3,4); ...
"深入了解C与汇编语言:x86_64通用寄存器、调用反汇编调试
在学习C与汇编语言的过程中,有几个重要的知识点需要掌握,包括x86_64通用寄存器、调用、导出汇编代码、反汇编调试详解、结构体反汇编以及操作数约束。 x86_64通用寄存器是x86_64架构中的一组寄存器,主要用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值