logo标签列表

在x86汇编代码中追踪堆栈

x86stacktraceassembly
3
我正在看一份与我的课程相关的练习试卷,但我不太理解问题的某些方面,也许你能帮助我(如果你了解x86应该很容易)。因此,这里是第8个问题: http://www.coe.utah.edu/~cs4400/schedule/exam3.F10.pdf,它的解决方案在这里: http://www.coe.utah.edu/~cs4400/schedule/exam3_solns.F10.pdf。我只是不理解解决方案中如何获得这些值。让我来分析一下栈:
08048510 <callfoo>:
08048510: 55       pushl %ebp               # old frame pointer is pushed to the stack  
08048511: 89 e5    movl %esp,%ebp           # frame pointer = stack pointer
08048513: 83 ec 08 subl $0x8,%esp           # allocates 8 bytes for stack
08048516: 83 c4 f4 addl $0xfffffff4,%esp    # this I believe allocates 4 bytes to the stack??
08048519: 68 9c 85 04 08 pushl $0x804859c   # push string address
0804851e: e8 d1 ff ff ff call 80484f4 <foo> # call foo, which takes the string address as param1
08048523: 89 ec    movl %ebp,%esp           # (after foo) does similar to return out of function
08048525: 5d       popl %ebp
08048526: c3       ret

080484f4 <foo>:
080484f4: 55       pushl %ebp                  # push old frame pointer
080484f5: 89 e5    movl %esp,%ebp              # frame pointer = stack pointer
080484f7: 83 ec 18 subl $0x18,%esp             # allocate 24 bytes 
080484fa: 8b 45 08 movl 0x8(%ebp),%eax         # moves the param1 (string pointer) into eax
080484fd: 83 c4 f8 addl $0xfffffff8,%esp       # allocates 8 more bytes (?)
08048500: 50       pushl %eax                  # push x # pushes param1 to stack
08048501: 8d 45 fc leal 0xfffffffc(%ebp),%eax  # adds 12 to the frame pointer, puts it in eax(?)  
08048504: 50       pushl %eax                  # push buf (which apparently is located in eax and 0xc(%ebp)
08048505: e8 ba fe ff ff call 80483c4 <strcpy> # copies the string from param1 into buf
0804850a: 89 ec    movl %ebp,%esp              # puts stack pointer into ebp
0804850c: 5d       popl %ebp                   # pops ebp (returns back to other function)
0804850d: c3       ret

(a) 在执行完这些操作后,我猜测buf[0]的值为0x64636261。一个char占据一个字节,在小端模式下,它也可以被读成这样:buf[0] = 0x61626364(但我不知道我的教授是否会接受这个答案)。然而,我不明白buf[2]怎么等于0x08040069或者0x69000408。它有最后一个字符,然后是一个空字符,但是0408代表什么?
(b) 我不确定如何得到(b)或(c)。我在哪里获取esp的值以找出在foo开头放入ebp的内容呢?总体上,我对这最后两个问题感到困惑... 能帮忙吗? :(
没错,我已经建立了连接,但我不认为我会假设在buf之后的内存部分100%包含地址的开头。因此,我不会在测试中放置它。(b) (c) 就更加令人困惑了,我只是不明白他们从哪里获取这些地址。 :/ - fvertk
1
当0804851e调用foo时,下一条指令(返回地址)被推入堆栈(08048523)。Foo向堆栈分配8个字节,然后写入10个字节,从而部分覆盖了堆栈上的返回地址。 - Diadistis
啊,这个跟缓冲区溢出有关。但是由于某些原因,我把它读成了分配超过10个字节。你能告诉我在汇编笔记中哪里错了吗?我让它分配24个字节,然后再分配8个字节,总共32个字节。然后 %eax = %ebp + 12,我认为这会去到错误的位置,因为那不是栈内的位置,对吧? - fvertk
2
08048516行的注释是错误的:addl $0xfffffff4,%esp # 我相信这会在堆栈中分配4个字节?0 - 0xfffffff4 = 0x0C = 12十进制字节等效指令:subl $0xC,%esp - fileoffset
去年我班上做了一次模拟测试,不过很遗憾我想他们可能已经删除了它。 - fvertk
显示剩余2条评论
1个回答
5

这段代码中似乎存在很多不必要的堆栈指针操作,但真正重要的是buf变量位于ebp-4。你可以从以下序列看到:

leal 0xfffffffc(%ebp),%eax 
pushl %eax
call 80483c4 <strcpy>

0xfffffffc 表示 -4,因此 leal 0xfffffffc(%ebp),%eax 将 eax 设置为内存位置 ebp-4 的地址。然后,该值作为第一个参数被推送到堆栈中作为 strcpy 的第一个参数。由于传递给 strcpy 的第一个参数是 buf,所以我们知道 buf 的地址在 ebp-4

现在考虑当调用 foo 时堆栈的构建方式。

首先使用指令 pushl $0x804859c 将字符串地址推送到堆栈中。

0804859c   # string pointer

当函数foo被调用时,紧随其后的指令地址(08048523)被压入堆栈作为返回地址。

08048523   # return address

然后在foo内部,ebp被保存在堆栈中。此时它可能是任何值。

????????   # saved ebp

然后将ebp设置为esp,这样它现在指向先前保存的ebp位置。
现在因为我们知道buf在ebp-4处,这意味着堆栈上的下一个项目将是buf。堆栈上分配的空间比subl和addl指令所需的空间要多得多,但我们只关心buf在ebp-4处。因此,我们关心的堆栈部分如下所示:
0804859c   # string pointer
08048523   # return address
????????   # saved ebp      <- ebp points here
????????   # buff[0]        <- ebp-4 points here

现在如果你把“abcdefghi”复制到buff中,会发生什么?由于机器是小端模式,这些dword将从右向左填充。在该字符串中,你有9个字符和一个空终止符,因此你将覆盖buff[0]的所有四个字节,保存的ebp的所有四个字节,以及返回地址的两个字节。

所以你的堆栈现在是这样的:

0804859c   # string pointer
08040069   # return address
68676665   # saved ebp      <- ebp points here
64636261   # buff[0]        <- ebp-4 points here

由此,各种问题的答案应该很明显了。

由于栈是向下构建在内存中的,所以如我所示,在堆栈表示中buff[1]buff[2]位于buff[0]正上方。因此,您可以看到各种缓冲区的值只是:

buff[0] = 0x64636261
buff[1] = 0x68676665
buff[2] = 0x08040069

ret指令之前,我们有以下两个指令:

movl %ebp,%esp
popl ebp

第一个指令将esp设置为当前ebp的值,这样它就指向了在堆栈上保存先前ebp的位置。然而,从堆栈表示中可以看出,该值现在已被覆盖为68676665。因此,当您弹出ebp时,您将获得该值。

%ebp = 0x68676665

同样地,当函数返回时,它要尝试从堆栈中弹出返回地址,但是从堆栈的表示中可以看到原始的返回地址已经被部分覆盖。因此,在ret指令之后,eip将弹出08040069

$eip = 0x08040069

我想这回答了你所有的问题。

我知道这个问题已经几年了,但它还没有关闭,也没有被接受的答案,所以也许这个解释对某些人仍然有用。

我只是在浏览我的旧问题,哇,你真是一个绅士和学者。 - fvertk
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接