逆向工程栈

为什么栈会逆增长

多数的栈是逆增长的&＃xff0c;它会从高地址向低地址增长。

历史原因。当计算机尚未小型化的时候&＃xff0c;它还有数个房间那么大。在那个时候&＃xff0c;内存就分为两个部分&＃xff0c;即"堆/heap"和栈/stack。当然&＃xff0c;在程序执行过程中&＃xff0c;堆和栈到底会增长到什么地址并不好说&＃xff0c;所以人们干脆把它们分开&＃xff1a;

栈的用途

1&＃xff09;保存函数结束时的返回地址

x86

当程序使用call指令调用其他函数时&＃xff0c;call指令结束后的返回地址将被保存在栈里&＃xff1b;在call所调用的函数结束之后&＃xff0c;程序将执行无条件跳转指令&＃xff0c;跳转到这个返回地址。

CALL指令等价于PUSH返回地址和JMP函数地址的指令对。

被调用函数里的RET指令&＃xff0c;会从栈中读取返回地址&＃xff0c;然后跳转到这个地址&＃xff0c;就相当于POP返回地址&＃43;JMP返回地址指令。

栈是有隐姓埋名的&＃xff0c;溢出它很容易。直接使用无限递归&＃xff0c;栈就会满

ARM

如果一个函数不调用其他函数&＃xff0c;它就像树上的枝杈末端的叶子那样。这种函数就叫作叶函数leaf function。

叶函数的特点是&＃xff0c;它不必保存LR寄存器的值。如果叶函数的代码短到用不了几个寄存器&＃xff0c;那么它也可能根本不会使用数据栈。所以&＃xff0c;调用叶函数的时候确实可能不会涉及栈操作。

2&＃xff09;参数传递

在x86平台的程序中&＃xff0c;最常用的参数传递约定是cdecl。

push arg3

push arg2

push arg1

call f

add esp,12

被调用方法函数通过栈指针获取其所需的参数。

3&＃xff09;存储局部变量

通过向栈底调整栈指针的方法&＃xff0c;函数即可在数据栈里分配也一片可用于存储局部变量的内存空间。可见&＃xff0c;无论函数声明了多少个局部变量&＃xff0c;都不影响它分配栈空间的速度。

4&＃xff09;SEH结构化异常处理

5&＃xff09;缓冲区溢出保护

6&＃xff09;alloca()函数

直接使用栈来分配内存&＃xff0c;除些之外&＃xff0c;它与malloc()比偶没有显著的区别。

函数尾声的代码会还原ESP的值&＃xff0c;把数据还原为函数启动之前的状态&＃xff0c;直接抛弃由alloca()函数分配的内存。所以程序不需要特地使用free()函数来释放由这个函数申请的内存。

栈的噪音

#includevoid f1(){int a&＃61;1,b&＃61;2,c&＃61;3;};void f2(){int a,b,c;printf("%d, %d, %d\n",a,b,c);}int main(){f1();f2();}MSVC$SG2752 &＃39;%d, %d, %d&＃39;,0aH,00H_c$&＃61;-12 ;size&＃61;4_b$&＃61;-8 ;size&＃61;4_a$&＃61;-4 ;size&＃61;4_f1 PROCpush ebpmov ebp,espsub esp,12mov DWORD PTR _a$[ebp],1mov DWORD PTR _b$[ebp],2mov DWORD PTR _c$[ebp],3mov esp,ebppop ebpret 0_f1 ENDP_c$&＃61;-12 ;size&＃61;4_b$&＃61;-8 ;size&＃61;4_a$&＃61;-4 ;size&＃61;4_f2 PROCpush ebpmov mov ebp,espsub esp,12mov eax, DWORD PTR _c$[ebp]push eaxmov ecx, DWORD PTR _b$[ebp]push ecxmov edx, DWORD PTR _a$[ebp]push edxpush OFFSET $SG2752; ‘%d, %d, %d&＃39;call DWORD PTR __imp_printfadd esp,16mov esp,ebppop ebpret 0_f2 ENDPmain PROCpush ebpmov ebp,espcall _f1call _f2xor eax,eaxpop ebpret 0_main ENDP

在运行第二个函数时&＃xff0c;栈中的所有值&＃xff08;即内存中的单元&＃xff09;受前一个函数的影响&＃xff0c;而获得了前一个函数的变量的值。来格地说&＃xff0c;这些地址的值不是随机值&＃xff0c;而是可预测的伪随机值。