1.函数括号的作用
首先我们来看世界上最简单的函数调用:
#include <stdio.h>
#include <stdlib.h>
void test()
{
int a = 1;
}
int main()
{
test();
return 0;
}
下面我们来看其生成的对应汇编代码:
其中rbp指向当前函数栈帧的栈底,rsp指向当前函数栈帧的栈顶
这里的左花括号对应了第一个红色方框内的两条汇编指令,一是将主函数的栈底入栈,即保护主调函数的栈帧,二是将现在的栈顶指针,作为被调函数的栈底
右花括号对应了第二个红色方框,即将之前入栈的栈底取出来还给rbp寄存器,放弃被调函数栈帧
那么这里被调函数是如何返回主调函数的?这里的call指令有什么作用?ret呢?
call指令有两个作用,一是将下一条指令放到栈顶,二是之后进行函数调用,ret指令就是将返回值放到eax寄存器中。
2.危险的堆栈
这里我们再写一段简单的代码:
#include <stdio.h>
#include <stdlib.h>
void test2()
{
printf("hahahhah\n");
exit(4);
}
void test()
{
long a[2];
a[0] = 1;
a[1] = 2;
a[3] = (long)&test2;
}
int main()
{
test();
return 0;
}
让我们看看这段代码会发生什么神奇的效果
咦?为什么打印了test2函数的数据?
我们根据上面函数花括号的作用及call的作用思考一下。
在这段代码中可以看到我们越界访问数组a,并将函数test2的地址赋给a[3],这就会引起我们常见的段错误。其实这段代码确实会报错的,但是这里我用的是compiler explorer运行的该程序,主要是从原理上分析这段代码为什么会出现这样的效果。
众所周知,栈空间是连续的,这为程序的运行提供极大的便利,但也存在一些危险性。从上面可以看出,我们可以修改栈空间存放的内容,来尝试植入恶意代码,这里的地址0x1000本来是保存的函数调用的下一条指令的地址,那么我们通过a[3]越界访问数组,从而修改本为0x1000的值变为函数test2的地址,造成函数test返回后,并不能执行函数调用的下一条指令,而是调用test2函数,最后的输出结果出乎意料。
以上我的分析比较浅显,有不足的地方希望大佬指点,有兴趣的可以看下面的视频链接