在你的项目或程序中有没有遇到过,我们明明是调用功能模块A,却很诡异的的调用了模块B;并且A没有直接或间接的调用B。下面我们通过一个简单的实验来展示这种现象。
程序1:
#include <stdio.h>
#include <string.h>
int main();
void func2()
{
printf("func2\n");
}
void func1()
{
char str[5] = {0};
int tmpVal = (int)(func2);
memcpy(str+20,&tmpVal,sizeof(tmpVal));
printf("func1\n");
}
int main()
{
func1();
return 0;
}
上面的程序是在win7操作系统,vs2008编译环境,关闭优化选项的release版本下实验的。不同版本vs编译器或操作系统都有可能影响实验结果。首先我们直接来看下程序运行结果
图1
图2
程序非常诡异的输出了func1和func2,之所以称为诡异;是因为在我们的main函数中我们只调用了func1,代码中并没有调用func2函数。其实上面的情况就是由于对数组的越界操作引起的;分析func1中的代码int tmpVal = (int)(func2);这句是获取func2的地址然后放到临时变量中;memcpy(str+20,&tmpVal,sizeof(tmpVal));将获取的func2地址的值(共4字节)从临时变量str开始偏移20字节的地方。问题就出现在这个地方,因为str+20开始处的4字节原本存放的是在main函数中调用完func1后的返回地址,现在我们通过memcpy把这个值改成了func2的地址。就造成了我们的程序输出了func1和func2,同时我们的返回也造成了函数栈帧的不平衡,所以出现的Access violation错误(后面我们通过反汇编进行分析)。所以在我们的程序中如果出现了上面的诡异情况,基本上可以判断是你的程序存在内存越界写入数据,而写入的数据恰好又是你程序中某个函数的地址。
下面我们通过反汇编来对上面的程序进行分析;下面的程序需要有一点汇编的基础,不过下面的分析并不重要,我们只需要记得程序中出现诡异调用,第一时间想到内存越界存储就行。
首先使用ollydbg加载我们写的测试程序test.exe,定位到main函数,由于程序是我们自己编译的,会生成pdb文件。ollydbg根据pdb文件可以很容易找到main函数。如下图所示为main函数对应汇编代码。
图3
按f7快捷键进入到func1中;下面是func1函数实现。
图4
此时栈顶的信息如下:如不出意外程序执行完成后返回到地址00401078处,而该地址正好是main函数中调用func1的下一条汇编。
图5
当我们把汇编执行到func1的retn指令时再看此时栈顶的数据为401000,ollydbg帮我们标好了这就是函数func2。如果我们在func1中再继续执行,就会执行func2(401000地址)的代码。
图6
func2汇编代码如下:
图7
当我们再执行到401012处时,再看此时的栈顶数据如下图
图8
在401012处如果再继续执行代码就会执行0018FF88地址处的代码;而该处地址不是进程的代码空间,所以就会造成访问错误。也就是图2中的错误
2750
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
