利用栈帧改变变量的值及强行插入第三个函数

利用栈帧 改变另一个变量的值

在之前学习了栈帧结构后，我们可不可以不通过某一个变量名来改变该变量的值？
答案是可以的。代码如下：

#include <stdio.h>
#include <windows.h>
int Myadd(int x,int y)
{
    int z=0;
    int *p=&x;
    p++;
    printf("Myadd：%#x\n",*p);
    *p=10;
    printf("Myadd：%#x\n",*p);
    z=x+y;
    return z;
}
int main()
{
    int a=0xAAAAAAAA;
    int b=0XBBBBBBBB;
    int c=Myadd(a,b);
    printf("you should run here!\n");
    printf("result:%d\n",c);
    system("pause");
    return 0;
}

其实很简单，我们对x取地址，当前指针指向x的地址，令指针下移即可指向b，可以通过指针来改变b变量的值，实际上在这个过程中，我们并没有通过b变量的变量名来改变b的值。

强行插入第三个函数

通过栈帧结构，我们知道函数调用返回时，是要将call命令的下一条指令的地址压入栈中，如果我们通过改写这个地址，是否可以强行跳转至我们想要程序跳转的函数，如果可以，那么该如何返回本身应该执行的函数呢？
下面我们具体说明一下：

#include <stdio.h>
#include <windows.h>
int bug()
{
    Sleep(1000);
    printf("i am a bug!\n");
    Sleep(3000);
    system("pause");
}
int Myadd(int x,int y)
{
    int z=0;
    int *p=&x;
    p--;
    *p=bug;
    z=x+y;
    return z;
}
int main()
{
    int a=0xAAAAAAAA;
    int b=0XBBBBBBBB;
    int c=Myadd(a,b);
    printf("you should run here!\n");
    printf("result:%d\n",c);
    system("pause");
    return 0;
}

类似于修改变量的例子，我们通过修改指针的位置可以找到之前被压入栈中的main函数的返回地址，并且通过改写改地址（修改为我们要插入函数的地址），使得函数Myadd并没有返回main函数而是跳转至了我们自己写的bug函数。

在实际运行时，我们可以发现程序确实是跳转进了我们的bug函数中，但实际上，程序在结束时是挂掉的，因为我们并没有处理如何从bug函数返回我们的main函数。
我们回想一下刚才我们是强行跳转至第三函数的，是通过修改栈中main函数的返回地址来实现的，但是我们并没有将这个地址保存下来，所以我们从bug函数想要回到main函数，程序也不知道他要回到那里继续执行，所以这个操作必须由我们完成。

#include <stdio.h>
#include <windows.h>
void *main_ret = NULL;
int bug()
{
    int first=0;
    int *p=&first;
    p+=2;
    *p=main_ret;

    Sleep(1000);
    printf("This is bug!\n");
    Sleep(3000);

}
int Myadd(int x,int y)
{
    int z=0;
    int *p=&x;
    p--;
    printf("begin...Myadd\n");
    main_ret=*p;
    *p=bug;
    z=x+y;
    printf("end...Myadd\n");
    return z;
}
int main()
{
    int a=10;
    int b=20;
    int c=0;
    printf("begin...main\n");

    c = Myadd(a, b);
    _asm{
        sub esp,4
    }//平衡栈帧
    printf("This is main!\n");
    printf("result:%d\n",c);
    printf("end...main\n");
    system("pause");
    return 0;
}

通过这个截图我们可以看到函数调用的过程：
main函数–>Myadd–>bug–>main
调用Myadd函数使用了call指令，而调用bug函数是通过更改地址的方式，但返回时两个函数均使用了ret指令才能返回。
_asm是在c语言中插入汇编代码，令esp-4是为了平衡esp的位置，在我们返回main函数时，通过我们的人为操作，esp相比于正常状态是不平衡的，所以我们通过在c语言中插入一段汇编代码来平衡栈帧。

以上：就是通过栈帧结构来改变变量的值，或者强行改变函数跳转。
因此我们在写程序中，对于调用函数的过程要非常清楚，并且还要函数在调用过程中关心内存的变化、返回值、几个函数跳转的过程。