当我遇到一个涉及查看linux的struct stat的问题时,我正在进行逆向工程练习。当我由于某种原因编译我的代码时,字段没有像我期望的那样对齐。在st_dev和st_ino之间出现两个0字差距,我不明白为什么这只是编译而已。
gcc -m32 struct.c
Struct.c
#include <sys/types.h>
#include <sys/stat.h>
#include <time.h>
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char *argv[])
{
struct stat sb;
sb.st_dev=0xbeef;
sb.st_ino=0xdead;
sb.st_mode=0xfeed;
sb.st_nlink=0xffff;
sb.st_uid=0x888f;
}
Relavant Assembly
08048374 <main>:
8048374: 8d 4c 24 04 lea 0x4(%esp),%ecx
8048378: 83 e4 f0 and $0xfffffff0,%esp
804837b: ff 71 fc pushl 0xfffffffc(%ecx)
804837e: 55 push %ebp
804837f: 89 e5 mov %esp,%ebp
8048381: 51 push %ecx
8048382: 83 ec 60 sub $0x60,%esp
8048385: c7 45 a4 ef be 00 00 movl $0xbeef,0xffffffa4(%ebp)
804838c: c7 45 a8 00 00 00 00 movl $0x0,0xffffffa8(%ebp)
8048393: c7 45 b0 ed be 00 00 movl $0xdead,0xffffffb0(%ebp)
804839a: c7 45 b4 ed fe 00 00 movl $0xfeed,0xffffffb4(%ebp)
80483a1: c7 45 b8 ff ff 00 00 movl $0xffff,0xffffffb8(%ebp)
80483a8: c7 45 bc 8f 88 00 00 movl $0x888f,0xffffffbc(%ebp)
80483af: 83 c4 60 add $0x60,%esp
我预计0xdead为0xffffffa8(%ebp),但不明白为什么不是这种情况。
作为参考,我正在查看这个二进制文件,它所打印的字段代表来自http://beginners.re/exercises/per_chapter/struct_exercise_Linux86.tar的http://beginners.re/ 20.7.1练习#1 焦油
答案 0 :(得分:3)
真实stat结构在/usr/include/bits/stat.h中定义(包含在<sys/stat.h>中)。你会理解那里的抵消。