偶然间又看到了一个c程序的骚操作。写出来记录一下。先把代码和运行结果贴出来。
#include <stdio.h>
#include <stdlib.h>
void fun()
{
printf("1\n");
}
int fun1(int a,int b)
{
int *p = &a;
--p;
*p = (int)fun;
return 0;
}
int main()
{
int aaa = 0;
printf("0\n");
fun1(aaa,0);
printf("2\n");
exit(1);
}
#include <stdio.h>
#include <stdlib.h>
unsigned int sss = 0;
void fun(int a)
{
int *p = &a;
--p;
*p = sss;
printf("1\n");
}
int fun1(int a,int b)
{
int *p = &a;
--p;
sss = *p;
*p = (int)fun;
return 0;
}
int main()
{
int aaa = 0;
printf("0\n");
fun1(aaa,0);
printf("2\n");
exit(1);
return 0;
}
这两段代码的所表现的是一个内容。乍一看,fun函数没有被调用,然而他不仅执行了,还把理应输出的”2”给gank了。第二段代码中在fun函数中也加入了一些骚操作才让“2”正常打印了出来。
关于这个代码,核心之处就在于如下这几句
int *p = &a;
--p;
*p = (int)fun;
我们逐句看一下
1. 取了第一个参数地址
2. 把地址减去了4
3. 把fun函数入口地址强制赋值给此地址
很明显,现在的问题就在于第一个参数减去4的这个地址所代表的意义。他呢,就是fun1函数的返回地址。在内存当中,像下图这么一个顺序,所以--p
后对*p
修改,实际上是修改了函数的返回地址,所以在fun1本应返回main函数,返回到了fun函数,执行完这段函数后,函数没返回地址自然也就终止了。所以“2”不会被打印。第二段函数就是把fun1函数返回地址保存全局变量,在fun中把fun函数返回地址替换。所以程序又返回到了main函数中 打印了“2”。