例题1
阅读如下C代码片段(其中Y表示代码指令地址):
void overflow(char* pShellcode, int iLen) {
Y1:char buffer[8];
Y2: memcpy(buffer, pShellcode, dwLen);
Y3: „„
}
Y4: int main() {
Y5: „„
Y6: overflow("123456789123456789",18);
Y7: „„
}
main主程序调用执行overflow函数后,指令指针指向(D?)。
A.Y3
B.Y7
C.0x34353637
D.0x37363534
解析:该题考查栈帧的知识。
在调用函数的时候,一般会将现场(地址)保护起来即进栈。除了地址之外还有一些其他的信息。这些所有的信息被保存在一个栈帧中。每个函数都有一个栈帧。其结构图如下所示:
以上例题中main函数就是调用函数;overflow是被调用函数。当调用overflow时,main函数的栈帧(ebp指向栈底,esp指向栈顶)会将自己的返回地址(32位系统4B)压入栈中,即图中的蓝色最后一行。而后ebp=esp,esp减少相应的地址,组成overflow函数的栈帧。
运行上述例题代码后,调用函数之前:
main函数的栈帧是从ebp=0x60ff08到esp=0x60fef0
调用overflow之后(运行完但未出overflow函数时)的栈帧ebp和esp如下图可见:
其中ebp里面存的应该是main的ebp,但由下图可见(内存区中蓝框)变成了0x603938!这是因为“123456789123456789”中前8位赋值给了buffer[8],后面的会依次遮盖内存中的值。这里buffer[8]居然开辟出了16个字节的空间!不知道是不是IDE的问题?其中“89”对应的码为38 39,这才导致了main的ebp值出现了错误。
再回过去看例题,指令指针所指的地址,应该就是返回地址的地址,在这里并没有改变还是之前的地址。但是假如地址被掩盖了就会不同。
这里不能得出D,buffer[8]开辟了16个字节的空间…如果是8个就能得到和题中一致的结果。
参考:
链接: 牛客原题 、链接: 栈帧结构 、链接: 栈帧解释
疑问
疑问:
一直以来有一些疑惑,程序运行的时候是在内存上还是磁盘上?如果程序在内存上,那么哪些数据又存在哪里,一起的吗?程序在运行的时候总说返回地址,返回地址是在内存上吗,和数据的地址是同样表示方式吗?
证明 : 磁盘在是用来存储数据和代码的,当程序要运行时,程序会装载到内存上,因此程序在内存上,数据也是存在内存上。证明如下:
在内存上查到程序执行的语句。在这里用变量来指示程序的变化。可以从上下两个图得出结论:执行的程序是在内存上的。
紧接着在memory中查找a的地址:
发现内存定义在了0x60fefc,和程序不在一块。
总述
32位操作系统针对的32位的CPU设计。CPU内部寄存器和寻址总线是32位,指令集可以运行32位数据指令,也就是说一次可以提取32位数据(4个字节,32bit=4Byte)。32位CPU有4G的内存寻址空间,一位内存地址表示需要8B空间(例如,0x0060ff08)。
在C语言中,内存可分用五个部分:
-
BSS段(Block Started by Symbol): 用来存放程序中未初始化的全局变量的内存区域。注:未初始化的全局变量在memory中不能查看。
-
数据段(data segment): 用来存放程序中已初始化的全局变量的内存区域。
-
代码段(text segment): 用来存放程序执行代码的内存区域。
-
堆(heap):用来存放进程运行中被动态分配的内存段,它的大小并不固定,可动态扩张或缩减。当进程调用malloc分配内存时,新分配的内存就被动态添加到堆上,当进程调用free释放内存时,会从堆中剔除。
-
栈(stack):存放程序中的局部变量(但不包括static声明的变量,static变量放在数据段中)。同时,在函数被调用时,栈用来传递参数和返回值。由于栈先进先出特点。所以栈特别方便用来保存/恢复调用现场。
malloc函数用法
其中malloc用法需熟记,用的地方很多。定义如下:
void *malloc(int size);
说明:malloc 向系统申请分配指定size个字节的内存空间。返回类型是 void* 类型。void* 表示未确定类型的指针。C,C++规定,void* 类型可以强制转换为任何其它类型的指针。 malloc 函数返回的是 void * 类型,如果你写成:int* p = malloc (sizeof(int)); 则程序无法通过编译,报错:“不能将 void* 赋值给 int * 类型变量”。所以必须通过 (int *) 来将强制转换。
正确用法如下:
int* p = (int *) malloc (sizeof(int));
详见:malloc()函数其实就在内存中找一片指定大小的空间,然后将这个空间的首地址范围给一个指针变量,这里的指针变量可以是一个单独的指针,也可以是一个数组的首地址,这要看malloc()函数中参数size的具体内容。我们这里malloc分配的内存空间在逻辑上连续的,而在物理上可以连续也可以不连续。对于我们程序员来说,我们关注的是逻辑上的连续,因为操作系统会帮我们安排内存分配,所以我们使用起来就可以当做是连续的。