我的问题与Stack allocation, padding, and alignment有关。考虑以下功能:
void func(int a,int b)
{
char buffer[5];
}
在程序集级别,函数如下所示:
pushl %ebp
movl %esp, %ebp
subl $24, %esp
我想知道如何分配堆栈上的24个字节。据我所知,为char缓冲区分配了16个字节[5]。我不明白为什么额外的8个字节用于它们以及如何分配它们。上面链接中的最佳答案表示它适用于退回和离开。有人可以扩展吗?
我认为堆栈结构如下所示:
[bottom] b , a , return address , frame pointer , buffer1 [top]
但这可能是错误的,因为我正在编写一个简单的缓冲区溢出并尝试更改返回地址。但由于某种原因,返回地址没有改变。堆栈上还有其他东西吗?
答案 0 :(得分:5)
额外空间有几个原因。一个是变量的对齐。第二种是引入填充来检查堆栈(通常是调试版本而不是版本构建使用空间)。第三种是为临时存储寄存器或编译器生成的临时变量提供额外的空间。
在C调用序列中,通常的方式是将有一系列推送指令将参数压入堆栈,然后使用调用指令调用该函数。调用指令会将返回地址压入堆栈。
当函数返回时,调用函数将删除推送的参数。例如,对函数的调用(这是带有C ++程序的Visual Studio 2005)将如下所示:
push OFFSET ?pHead@@3VPerson@@A ; pHead
call ?exterminateStartingFrom@@YAXPAVPerson@@@Z ; exterminateStartingFrom
add esp, 4
这是将变量的地址压入堆栈,调用函数(每个C ++函数名称被破坏),然后在被调用函数返回后,通过向堆栈指针添加字节数来重新调整堆栈用于地址。
以下是被调用函数的入口部分。这样做是为堆栈上的局部变量分配空间。请注意,在设置了入口环境之后,它会从堆栈中获取函数参数。
push ebp
mov ebp, esp
sub esp, 232 ; 000000e8H
push ebx
push esi
push edi
lea edi, DWORD PTR [ebp-232]
当函数返回时,它基本上将堆栈调整回调用函数时的位置。每个函数都负责清理它在返回之前对堆栈所做的任何更改。
pop edi
pop esi
pop ebx
add esp, 232 ; 000000e8H
pop ebp
ret 0
您提到您正在尝试更改返回地址。从这些示例中可以看出,返回地址是在推入堆栈的最后一个参数之后。
这是brief writeup on function call conventions。另请查看此document on Intel assembler instructions。
使用Visual Studio 2005做一些示例工作,我看到如果我执行以下代码,我可以访问此示例函数的返回值。
void MyFunct (unsigned short arg) {
unsigned char *retAddress = (unsigned char *)&arg;
retAddress -=4;
printf ("Return address is 0x%2.2x%2.2x%2.2x%2.2x\n", retAddress[3], retAddress[2], retAddress[1], retAddress[0]);
}
请注意,此Windows 32位寻址的调用汇编程序指令似乎将返回地址按字节顺序放置,其中返回地址从低字节到高字节存储。
答案 1 :(得分:3)
额外的空间用于堆栈对齐,通常是为了获得更好的性能。