在x86汇编代码中跟踪堆栈

时间:2011-12-13 02:31:16

标签: x86 stack tracing assembly

我正在为我的某个课程进行练习考试而我只是不了解问题的一些方面,所以也许你帮助我(如果你知道x86,可能很容易)。

所以问题8在这里: http://www.coe.utah.edu/~cs4400/schedule/exam3.F10.pdf

它的解决方案在这里: http://www.coe.utah.edu/~cs4400/schedule/exam3_solns.F10.pdf \

我只是不明白如何在解决方案中获得这些值。让我来看看我如何解释堆栈:

08048510 <callfoo>:
08048510: 55       pushl %ebp               # old frame pointer is pushed to the stack  
08048511: 89 e5    movl %esp,%ebp           # frame pointer = stack pointer
08048513: 83 ec 08 subl $0x8,%esp           # allocates 8 bytes for stack
08048516: 83 c4 f4 addl $0xfffffff4,%esp    # this I believe allocates 4 bytes to the stack??
08048519: 68 9c 85 04 08 pushl $0x804859c   # push string address
0804851e: e8 d1 ff ff ff call 80484f4 <foo> # call foo, which takes the string address as param1
08048523: 89 ec    movl %ebp,%esp           # (after foo) does similar to return out of function
08048525: 5d       popl %ebp
08048526: c3       ret

080484f4 <foo>:
080484f4: 55       pushl %ebp                  # push old frame pointer
080484f5: 89 e5    movl %esp,%ebp              # frame pointer = stack pointer
080484f7: 83 ec 18 subl $0x18,%esp             # allocate 24 bytes 
080484fa: 8b 45 08 movl 0x8(%ebp),%eax         # moves the param1 (string pointer) into eax
080484fd: 83 c4 f8 addl $0xfffffff8,%esp       # allocates 8 more bytes (?)
08048500: 50       pushl %eax                  # push x # pushes param1 to stack
08048501: 8d 45 fc leal 0xfffffffc(%ebp),%eax  # adds 12 to the frame pointer, puts it in eax(?)  
08048504: 50       pushl %eax                  # push buf (which apparently is located in eax and 0xc(%ebp)
08048505: e8 ba fe ff ff call 80483c4 <strcpy> # copies the string from param1 into buf
0804850a: 89 ec    movl %ebp,%esp              # puts stack pointer into ebp
0804850c: 5d       popl %ebp                   # pops ebp (returns back to other function)
0804850d: c3       ret

(a)这样做之后,我想我可以看到buf [0] = 0x64636261的方式。 char是一个字节,并且是小端,它也可以这样读:buf [0] = 0x61626364(虽然我不知道我的教授是否会接受这个答案)。 然而,我不明白buf [2]如何等于0x080400690x69000408。它有最后一个字符,然后是空字符,但0408是什么?

(b)我不知道如何得到(b)或(c)。我在哪里可以获得esp的价值,以找出ebp开头的foo内的内容?总的来说,我对这最后两个感到困惑......帮忙? :(

1 个答案:

答案 0 :(得分:3)

在此代码中似乎存在大量不必要的堆栈指针操作,但真正重要的是buf变量位于ebp-4。您可以从序列中看到:

leal 0xfffffffc(%ebp),%eax 
pushl %eax
call 80483c4 <strcpy>

0xfffffffc为-4,因此leal 0xfffffffc(%ebp),%eax将eax设置为内存位置ebp-4的地址。然后将该值作为strcpy的第一个参数压入堆栈。由于传递给strcpy的第一个参数是buf,我们知道buf的地址位于ebp-4

现在考虑如何调用堆栈foo

首先,指令pushl $0x804859c推送字符串地址。

0804859c   # string pointer

然后,当调用函数foo时,调用后的指令地址(08048523)将作为返回地址压入堆栈。

08048523   # return address

然后在foo中,ebp保存在堆栈中。在这一点上它可能是任何东西。

????????   # saved ebp

然后将ebp设置为esp,因此它现在指向保存上一个ebp的位置。

现在因为我们知道buf位于ebp-4,这意味着堆栈中的下一个项目将是buf。堆栈上分配的空间比subladdl指令所需的空间多得多,但我们关心的是buf位于ebp-4。所以我们关心的堆栈部分看起来像这样:

0804859c   # string pointer
08048523   # return address
????????   # saved ebp      <- ebp points here
????????   # buff[0]        <- ebp-4 points here

那么现在当你将“abcdefghi”复制到buff时会发生什么?由于机器是小端,这些dword将从右到左填充。在该字符串中有9个字符加上一个空终止符,因此您将覆盖buff[0]的所有四个字节,保存的ebp的所有四个字节,然后是返回地址的两个字节。

所以你的堆栈现在看起来像这样:

0804859c   # string pointer
08040069   # return address
68676665   # saved ebp      <- ebp points here
64636261   # buff[0]        <- ebp-4 points here

从那以后,各种问题的答案应该是相当明显的。

由于堆栈在内存中向下构建,{I} buff[1]buff[2]位于堆栈表示中buff[0]的正上方,如我所示。所以你可以看到各种buff值只是:

buff[0] = 0x64636261
buff[1] = 0x68676665
buff[2] = 0x08040069

然后,在ret指令之前,我们有以下两条指令:

movl %ebp,%esp
popl ebp

第一个将esp设置为ebp的当前值,因此它将指向堆栈上保存前一个ebp的位置。但是,查看堆栈表示,您可以看到该值现在已被68676665覆盖。所以当你弹出ebp时,那就是你将获得的价值。

%ebp = 0x68676665

类似地,当函数返回时,它将尝试从堆栈中弹出返回地址,但是您再次可以从堆栈表示中看到原始返回地址已被部分覆盖。因此,在ret指令之后,eip会立即弹出08040069

$eip = 0x08040069

我认为,这回答了你所有的问题。

我意识到这个问题现在已经有好几年了,但它还没有被关闭,而且没有一个公认的答案,所以这个解释可能对某些人来说仍然有用。