汇编语言里调用函数的过程和堆栈平衡问题

最新推荐文章于 2023-04-24 17:21:54 发布
最新推荐文章于 2023-04-24 17:21:54 发布
阅读量713 收藏 3
点赞数 2
分类专栏: 汇编语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35289660/article/details/104437975
版权

汇编语言里调用函数的过程和堆栈平衡问题

文章目录

1、汇编实例:简单函数调用时堆栈的变化过程

​ 我这里写了一个简单的C语言程序,调用了ADD()子函数,返回两个参数的和。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jsdVlWil-1582313055305)(../../../AppData/Roaming/Typora/typora-user-images/1582299641419.png)]

我们用OD调试它的exe文件,来查看调用函数前后堆栈的变化过程。

1.调用函数前:传入参数

我这里是直接找到main函数入口

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZzkQXo0Z-1582313055306)(../../../AppData/Roaming/Typora/typora-user-images/1582299868710.png)]

我下断点的地方(地址:0x40DABE)就是子函数ADD();

  • 函数调用前首先压入参数。

原C语言代码中ADD函数有两个参数a=1和b=2;

按f8执行,一直到函数入口

可以看到OD中地址:0x40DAA8开始到调用函数有以下代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BAWZ3kp9-1582313055306)(../../../AppData/Roaming/Typora/typora-user-images/1582301229432.png)]

所以,调用函数前的PUSH函数(此程序为PUSH EAX,PUSH ECX),即为子函数传入参数。

提一下汇编的CALL函数(个人认为),比如这个程序中调用ADD()函数的CALL函数。

0040DABE   CALL 草稿.0040100A
0040DAC3   ADD ESP,0x8

这里的CAll函数可以看为

PUSH 0x0040DAC3//将函数返回地址压栈
MOV EIP,0x0040100A//改变EIP指针的值

调用函数前的

栈顶指针ESP:0x0019FED0

栈底指针EBP:0x0019FF30

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WuTjK6DR-1582313055307)(../../../AppData/Roaming/Typora/typora-user-images/1582308662012.png)]

2.调用函数时

按f7步入函数,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g4eTABXb-1582313055307)(../../../AppData/Roaming/Typora/typora-user-images/1582304279074.png)]

这里是JMP,就继续f8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gSb2fOk2-1582313055307)(../../../AppData/Roaming/Typora/typora-user-images/1582305003852.png)]

此时

栈底指针ESP:0x0019FECC

栈底指针EBP:0x0019FF30

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aYlBnzeQ-1582313055307)(../../../AppData/Roaming/Typora/typora-user-images/1582309791177.png)]

1.开辟空间(缓存区)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kOCRSQ1g-1582313055308)(../../../AppData/Roaming/Typora/typora-user-images/1582305224660.png)]

开辟了长度为0x40的堆栈空间,就是缓存区,同时ESP、EBP跟着变化。

值得注意的是,连栈底指针EBP也移动了,而且栈底指针[EBP+0x4]的堆栈位置存储的实际就是函数返回地址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BWvcPGBW-1582313055308)(../../../AppData/Roaming/Typora/typora-user-images/1582305596336.png)]

此时

栈底指针ESP:0x0019FE88

栈底指针EBP:0x0019FEC8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5cQOn2ct-1582313055309)(../../../AppData/Roaming/Typora/typora-user-images/1582310095279.png)]

2.保存现场

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-724IVVqH-1582313055310)(../../../AppData/Roaming/Typora/typora-user-images/1582305902066.png)]

将这几个寄存器的值压入堆栈,防止函数调用时将原本的参数遗漏。

此时

栈底指针ESP:0x0019FE7C

栈底指针EBP:0x0019FEC8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kTyi0Tdv-1582313055310)(../../../AppData/Roaming/Typora/typora-user-images/1582310187922.png)]

3.覆盖缓存区

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JuMHJvM3-1582313055310)(../../../AppData/Roaming/Typora/typora-user-images/1582306456161.png)]

这一步的作用是覆盖缓存区,防止缓存区溢出,因为开辟的空间里有历史数据,避免这些数据对程序造成不必要的影响。

此时

栈底指针ESP:0x0019FE7C

栈底指针EBP:0x0019FEC8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8En42lK7-1582313055311)(../../../AppData/Roaming/Typora/typora-user-images/1582310304986.png)]

4.执行函数的功能

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jL9gO4te-1582313055311)(../../../AppData/Roaming/Typora/typora-user-images/1582306668307.png)]

可以发现,它在调用参数时,并没有用EAX和ECX(在函数调入口处EAX和ECX里也存放1,2),而是运用原本压入栈的数据。

将函数返回值3,存储在EAX中。

在这个程序中,子函数的功能代码就只有这两行。

此时

栈底指针ESP:0x0019FE7C

栈底指针EBP:0x0019FEC8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Rk2cnqLY-1582313055312)(../../../AppData/Roaming/Typora/typora-user-images/1582310318576.png)]

5.恢复现场

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UJVjrVD6-1582313055312)(../../../AppData/Roaming/Typora/typora-user-images/1582307000478.png)]

就是将原本寄存器压入栈的值返回给原本寄存器,保留上一个函数的数据。

此时

栈底指针ESP:0x0019FE88

栈底指针EBP:0x0019FEC8

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3STwvpwt-1582313055312)(../../../AppData/Roaming/Typora/typora-user-images/1582310359395.png)]

6.恢复空间

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5x0xVQMK-1582313055313)(../../../AppData/Roaming/Typora/typora-user-images/1582307378294.png)]

此时

栈底指针ESP:0019FECC

栈底指针EBP:0019FF30

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NIXwKKbh-1582313055313)(../../../AppData/Roaming/Typora/typora-user-images/1582310421795.png)]

7.函数结尾:RETN

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G8CuRZbm-1582313055314)(../../../AppData/Roaming/Typora/typora-user-images/1582307469326.png)]

实际上,RETN这个语句的意义是

POP EIP

将栈中之前存入的函数返回地址弹到EIP中,实现返回函数的目的

按f8执行

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-18DpcDHh-1582313055314)(../../../AppData/Roaming/Typora/typora-user-images/1582307729622.png)]

函数结束后

栈顶指针ESP:0x0019FED0

栈底指针EBP:0x0019FF30

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1HPRO0KM-1582313055315)(../../../AppData/Roaming/Typora/typora-user-images/1582310456602.png)]

3.总结

可以反先,调用函数前后,堆栈空间是不变的,ESP和EBP都复原了,而这个现象叫做堆栈平衡

但调用函数时产生的数据并没有管理,这些数据就是历史数据,也称垃圾数据。

2、堆栈平衡

汇编语言里,调用函数的时候会开辟新的堆栈,调用完后返回时必须要恢复堆栈,即调用函数前后,ESP和ESB不变。

如果前后发生了变化,造成堆栈不平衡,对程序危害非常大。

3、IDA堆栈不平衡问题:positive sp value has been found

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yzH3zRnZ-1582313055315)(../../../AppData/Roaming/Typora/typora-user-images/1582310682504.png)]

造成这个问题的原因就是堆栈不平衡

我们先找到出问题的地址0x411A04,也就是警告里提示的。

IDA里按g键并输入地址

他又会弹出警告,但这是你点OK,他会自动切换到改地址对应汇编代码段。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xdVKZXKK-1582313055315)(../../../AppData/Roaming/Typora/typora-user-images/1582311027963.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-arjajhxK-1582313055316)(../../../AppData/Roaming/Typora/typora-user-images/1582311333186.png)]

这时,我们需要打开IDA里的Stack pointer(栈指针)选项,来查看他的堆栈情况,检测哪里不平衡。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KEKGbg2b-1582313055316)(../../../AppData/Roaming/Typora/typora-user-images/1582311414753.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wB2mNAWJ-1582313055317)(../../../AppData/Roaming/Typora/typora-user-images/1582311455144.png)]

记住是打上勾。。。

之后,就可以看到堆栈情况。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-anS1gF4s-1582313055317)(../../../AppData/Roaming/Typora/typora-user-images/1582311599555.png)]

所以,我有就要向上寻找,看哪里恢复空间时,是不是ADD ESP,立即数多了。导致堆栈不平衡。

网上看 正好看到ADD ESP,0CCh,

所以,我们只需让ESP少加4,就正好对应最后面的-4。

(为什么是负数-4,因为开辟栈空间的时候是SUB ESP,立即数,堆栈由高到低开辟,而恢复的时候,是ADD ESP,立即数,。。。根据IDA里栈指针的情况,开辟栈空间的时候,栈指针变为正数,而恢复空间的时候,变为了负数,说明ADD ESP,立即数的时候,这个立即数大了)

具体的操作是点击ADD ESP,0CCh,按ALT+K。(0CCh-4=0C8h)

在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8rphKTUN-1582313055318)(../../../AppData/Roaming/Typora/typora-user-images/1582312283458.png)]

我们在回到伪代码的子函数入口处,双击即可打开子函数。

OK。

好,如果你在其中有什么不解或我有写错的地方,欢迎大家评论留言交流 ^ _ ^

C4cke
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
易语言汇编动态堆栈调用源码.7z
07-04
易语言汇编动态堆栈调用源码.7z
IDA F5堆栈平衡的处理
lilac的博客
12-29 5367
IDA F5堆栈平衡的处理 1.引出问题 F5时出现如图错误,一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed. 我们选择抖音老版本的libcms.so作为分析案例,假设Java代码如下 static { Sy...
rec_33c3_2016(堆栈平衡导致漏洞利用)
seaaseesa的博客
06-10 584
首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1可以用于栈数据泄露,轻松得到glibc地址 功能5有一个函数指针,当输入为0时,其值未初始化 因此,只要能控制其指针在栈对应的数据,就可以执行任意代码。但是sign函数的栈太低,不能依靠其他函数直接来控制,这在IDA的伪代码看不出来,就直接看汇编。 在polish函数中,此处存在栈不平衡问题 在call之前,开辟了0x10的空间,而call回来后仅仅add esp,8,栈降低了8字节。这点在伪代码是看不出
汇编中的堆栈平衡
1匹黑马
02-18 5293
文章目录什么是堆栈平衡如何进行堆栈平衡 什么是堆栈平衡有两种情况: 如果要返回父程序,则当我们在堆栈中进行堆栈操作的时候,一定要保证在RET这条指令之前,ESP指向的是压入的我们压入的地址 这句话我是这么理解的,就是当你调用函数的时候,比如使用CALL指令,当使用堆栈的时候,使用前ESP指向那个地址,使用后RET返回前就必须是那个地址,如果不是那个地址,那么堆栈就是不平衡的,程序就崩溃了...
1.栈的介绍-C语言调用函数(一)
最新发布
m0_64180167的博客
04-24 1417
我们在数据结构中学习过栈最基本的 前进后出 我们pwn中的栈溢出就是这的运用栈的特点。
【汇编】堆栈平衡、外平栈与内平栈
qq_52572621的博客
09-07 2837
如果要返父程序,则当我们在堆栈中进行堆栈操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入堆栈中的地址。也就是说我们的call指令调用函数之后,他的下一个地址会push到堆栈中,我们在函数中无论怎么操作堆栈,ret返回前堆栈必须指向的是call指令压入的地址。(这我们假设函数参数不会操作堆栈,只是函数内容操作堆栈) 如果通过堆栈传递参数,那么函数执行完毕之后,要平衡参数导致的堆栈变化。
从汇编到c 调用约定 堆栈原理
06-18
学习汇编的一个重要的方法就是将汇编代码和c代码之间进行转换练习,这样的练习做的越多,对汇编就越熟悉,同时对c代码的理解也更加深刻。很多时候,拿到一个程序的反汇编代码,虽然可能每一行汇编代码都知道什么意思...
Cortex M0_nRF51822的堆栈和LR例子,含汇编和C,研究函数在调用过程堆栈和LR的变化
01-04
在KEIL MDK中演示链接寄存器在BL指令执行时的变化,以及函数在调用过程堆栈的压栈和出栈,从堆栈查看到没有栈帧所述的PC、SP、FP等压栈。网上一篇文章说"ARM压栈的顺序很是规矩(也比较容易被黑客攻破么),...
ARM的启动代码为什么要用汇编语言
01-19
在ARM中讲到ARM的启动代码必须有汇编语言写成,一直不是很了解。  书上给的原因是C语言不具备上电立即运行的条件:  全局变量没有初始化、系统堆栈没有初始化等。  那单片机的C语言怎么就不要启动代码?(keil带...
汇编中的堆栈传参
01-20
当我们在执行函数调用时,寄存器不够用的时候,我们可以使用堆栈传参,比如说,我们要计算任意10个参数相加的和,如果按照之前文章的办法,我们会使用mov这个指令把参数传递到寄存器中进行计算,但是通用寄存器只有...
举例说明汇编语言子程序递归调用过程堆栈内容的变化过程
12-03
上海大学课程研讨,题目是举例说明汇编语言子程序递归调用过程堆栈内容的变化过程。上海大学课程研讨,题目是举例说明汇编语言子程序递归调用过程堆栈内容的变化过程
汇编学习-堆栈与子程序
热门推荐
lyyyuna 的小花园
11-17 1万+
任何程序在运行过程中都需要使用堆栈,操作系统为每一个程序(进程及线程)设置一个堆栈。在使用高级语言编程时,源程序中使用的函数调用、局部变量都要用到堆栈,由编译器来负责生成有关的机器指令。我的理解,堆栈就是维护当前线程中运行状态的一个数据结构,这种状态包括:需要传递的变量,函数的返回地址,局部变量等等。 与堆栈相关的 3 个寄存器是:SS, ESP, EBP。 ESP 寄存器中的内容作为堆栈的当
堆栈平衡:估计这是最详细的讲解堆栈平衡的了
imJaron的博客
03-25 6184
[cpp] view plain copy#include <stdio.h>  #include <stdlib.h>  #include <string.h>  #include <windows.h>    int ShowEsp(int* arg1,int* arg2);    /* 引言 各种面试宝典上都会说 又说栈在进程空间的高地址部分,...
[RE]如何调整堆栈平衡
PepperYouth的博客
11-26 3088
工具:IDA 6.8  示例:MBE的lab1B main: .text:08048BE4 000 push ebp .text:08048BE5 004 mov ebp, esp .text:08048BE7 004 and esp, 0FFFFFFF0h .text:
堆栈平衡的说明
u010488395的专栏
05-05 925
跟一个朋友谈堆栈的时候 就写下了这段文字,顺便发到这给需要的看看吧  汇编初学者比较头痛的一个问题  ////////////////////////////////////////////////////////////////////  比如 我们有这样一个C函数  1#include  2long test(int a,int b)  3{  4    a =
堆栈平衡:估计这是最详细的讲解堆栈平衡的了 vc++6.0
lixiangminghate的专栏
01-27 9360
#include #include #include #include int ShowEsp(int* arg1,int* arg2); /* 引言 各种面试宝典上都会说 又说栈在进程空间的高地址部分,向下扩展; 堆在进程空间的低地址部分,堆向上扩展 来验证一下是否正如所说这些变量在内存中如何分布? */ int main() { //0) int i=0xABCDABCD;
调用导致堆栈不对称。原因可能是托管的 PInvoke 签名与非托管的目标签名不匹配。请检查 PInvoke 签名的调用约定和参数与非托管的目标签名是否匹配...
specialsun的专栏
04-03 1056
    VS10下调用dll,代码如下:   // C++接口声明 void test(char *str); // 接口声明 [DllImport("datalib.dll", EntryPoint = "test")] public static extern void test(string str); // 调用 string str="Hello"; te...
如何在汇编语言中调用C语言函数
03-31
要在汇编语言中调用C语言函数,需要按照以下步骤进行操作: 1. 定义C语言函数的原型:需要在汇编代码中定义C语言函数的原型,以便编译器知道如何处理函数的参数和返回值。 2. 准备函数参数:将函数的参数保存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值