本文是对前面发的“windows堆栈溢出简易测试代码”里的代码进行逆向分析,还是逆向一下比较完善。工具:OD
1.main函数的反汇编代码
Code
1 00401120 | 55 push ebp
2 00401121 |. 8BEC mov ebp, esp
3 00401123 |. 83EC 40 sub esp, 40
4 00401126 |. 53 push ebx
5 00401127 |. 56 push esi
6 00401128 |. 57 push edi
7 00401129 |. 8D7D C0 lea edi, dword ptr [ebp-40]
8 0040112C |. B9 10000000 mov ecx, 10
9 00401131 |. B8 CCCCCCCC mov eax, CCCCCCCC
10 00401136 |. F3:AB rep stos dword ptr es:[edi]
11 00401138 |. E8 C8FEFFFF call 00401005
12 0040113D |. 33C0 xor eax, eax
13 0040113F |. 5F pop edi
14 00401140 |. 5E pop esi
15 00401141 |. 5B pop ebx
16 00401142 |. 83C4 40 add esp, 40
17 00401145 |. 3BEC cmp ebp, esp
18 00401147 |. E8 C4030000 call _chkesp
19 0040114C |. 8BE5 mov esp, ebp
20 0040114E |. 5D pop ebp
21 0040114F \. C3 retn
main函数的源代码里面就只有一个函数调用和return 0语句。在反汇编代码里面貌似有很多代码,我们需要一一来分析一下:
1. main函数里面的函数调用是对应与第11行代码,call 00401005,因为这里面只有两个call,而后一个是call _chkesp。
2. 在call 00401005之前,就是堆栈操作和初始化操作了,第1,2行代码是为了保持堆栈平衡的。
3. 第3行代码在堆栈上保留了一段0x40长度的空闲空间。
4. 第4,5,6行是保存寄存器。第7~10行主要是执行stos操作,向edi指向的地址(指向堆栈保留的空闲空间),赋值eax的值0xCCCCCCCC,长度为 ecx(0x10)* sizeof(dword),长度刚好为0x40。
5. 至于这0x40字节的空间到底有什么用,网上的大虾说是为函数内所有局部变量的开辟的。所有的准备工作做好了之后。
6. 第12行代码是对eax寄存器清0操作。
7. 第13,14,15是恢复前面保存的寄存器。
8. 第16行是调整esp,因为前面开辟了一个段0x40的空间,所以执行的是add esp, 40操作。
9. 第17,18是对堆栈进行检查。
10. 第19,20,21行平衡堆栈并返回。
以上是对整个main函数的分析,当然我们的主要目的是分析堆栈如何溢出的,重点是看在执行call 00401005前后堆栈的变化,在这之前,我们先分析一下00401005出的反汇编代码,也就是fun1()的代码。
2. 函数fun1()的反汇编代码
2 004010D1 |. 8BEC mov ebp, esp
3 004010D3 |. 83EC 48 sub esp, 48
4 004010D6 |. 53 push ebx
5 004010D7 |. 56 push esi
6 004010D8 |. 57 push edi
7 004010D9 |. 8D7D B8 lea edi, dword ptr [ebp- 48 ]
8 004010DC |. B9 12000000 mov ecx, 12
9 004010E1 |. B8 CCCCCCCC mov eax, CCCCCCCC
10 004010E6 |. F3: AB rep stos dword ptr es: [edi]
11 004010E8 |. C745 FC 00000 > mov dword ptr [ebp- 4 ], 0
12 004010EF |. 8D45 FC lea eax, dword ptr [ebp- 4 ]
13 004010F2 |. 8945 F8 mov dword ptr [ebp- 8 ], eax
14 004010F5 |. 8B4D F8 mov ecx, dword ptr [ebp- 8 ]
15 004010F8 |. 83C1 08 add ecx, 8
16 004010FB |. 894D F8 mov dword ptr [ebp- 8 ], ecx
17 004010FE |. 8B55 F8 mov edx, dword ptr [ebp- 8 ]
18 00401101 |. C702 0F104000 mov dword ptr [edx], 0040100F
19 00401107 |. 33C0 xor eax, eax
20 00401109 |. 5F pop edi
21 0040110A |. 5E pop esi
22 0040110B |. 5B pop ebx
23 0040110C |. 8BE5 mov esp, ebp
24 0040110E |. 5D pop ebp
25 0040110F \. C3 retn
第1~10行的代码和main函数第1~10行的代码都一样,唯一的区别在于保留的空间长度是0x48。第19~25行的代码也差不多,主要是恢复寄存器和堆栈,并返回。下面主要分析第11行到18行的代码:
1. 第11行向ebp-4所指向的变量赋予0,长度为一个dword,4个字节,ebp-4指向的是第一个变量,即我们的iRet。这一行等价于int iRet = 0;
2. 第12,13行是向ebp-8所指向的变量赋予ebp-4。lea eax, dword ptr[ebp-4] 等价于eax = ebp - 4。ebp-8指向的是第二个变量,即我们的pRet。(如果不知道为什么,可以查阅变量是如何在堆栈中分布的)这2行等价于int *pRet = &iRet;
3. 第14行是把ebp-8对应的变量的值赋予ecx,为此ecx = ebp - 4。第15行执行的是ecx += 8操作,这样ecx = ebp + 4了。这2行等价于pRet = pRet + 2;
4. 第16,17行进过两次mov操作,把ecx的值传给了edx,现在edx = ecx = ebp+4。第18行把0040100F赋予edx指向的地址,而0040100F对应的指令是jmp fun2。这3行等价于*pRet = (int )&fun2;
ebp+4指向的存储单元存储的是函数调用后的返回地址,而由上面的4可以看出来,返回地址被修改成了0040100F,这样,当函数返回的时候,就会去执行0040100F处的指令,即jmp fun2。从而执行函数fun2()。
3. 静态分析完成后,我们看看动态的情况是怎么样的。在执行call 00401005后,运行到fun1()函数的第2行时,堆栈如下
0012FF30存储的是fun1()函数的返回地址0040113D,0012FF2C所存储的是ebp:0012FF2C。当程序继续执行到fun2()的第19行后,堆栈如下
再看看0012FF30存储的值已经变成了0040100F了,即返回地址被改掉了。
整个分析过程到此就结束了。
1166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
