關于編譯型語言函數的調用(一)

終究真是團團轉,真可以說是好事做盡,壞事做絕,

但是想一想寫點東西既有助于記憶,又有益于他人參考,所以還是決定抽點時間草書此文

之前在有關破解的博文中也略微提到這個問題,現在就深入1點去考究它吧

狹義的編譯1般指的是將程序語言代碼轉為CPU能履行的機器碼,比如C++(VC++)

VB6的主程序也是切實編譯的,但是大部份卻類似java,生成了中間代碼,由虛擬機在運行時解釋為機器碼

這1點跟腳本很類似,只是中間代碼是2進制的,不容易為人所理解,腳本則更直觀

對.NET(VB,C#等)則是純潔的生成中間代碼(微軟中間語),因此這些語言生成的程序可以很容易的"反編譯"并任意轉換語言

生成中間代碼,廣義上也算是編譯.

我們今天要說的主要是狹義的編譯,而且主要以VC6為例子,考究函數調用的那些細節,其實我還是比較關注細節的

VC中經常使用的函數調用有以下幾種:

1、_stdcall
2、__cdec(默許)
3、__fastcall
4、thiscall(隱式)
5、naked(裸函數)

其實naked不是1種調用約定,而是函數修飾符,是面向編譯的,它允許http://www.vxbq.cn自由的控制函數的堆棧.

編譯以后可以與thiscall之外所有調用方式相同.我們寫個小demo來分別看看這些函數都是怎樣調用的.

下面在DEBUG下看看調用進程,注意如果是VS.NET,VC編譯時會在每一個變量前后都加1個DWORD,目的是檢測緩沖區溢出

首先是調用無返回值的void函數,默許是__cdecl調用:

注:

堆棧是從高地址向低地址延伸的,比如第1個push之前esp(棧頂指針)=0x0012FF04,那末push 3以后esp=0x0012FF00

以此類推,push 2,esp=0x0012FEFC; push 1,esp=0x0012FEF8

接著是call指令,這個指令將返回地址,即下1條指令位置(eip,指令指針)壓入堆棧,比如

call之前eip=0x00401363(下1條eip=0x00401368)

call以后eip=0x0040100A,esp=0x0012FEF4

然后調用結束,__cdecl約定函數最后的ret指令會pop 棧頂給eip指針

eip=0x00401368 ESP=0x0012FEF8

而后add esp,0xc,這里0xC=12即3個DWORD就是前面push的數量(pop要彈出給某個寄存器,add直接修改棧頂位置,減少堆棧大小)

到此,堆棧和eip恢復調用前的狀態.

接著,我們進入函數內部,看看它都做了甚么見不得人的勾當:

注意,不應當不是不可以,黑客所用的緩沖區溢出攻擊就是利用這1點,當你的程序不謹慎寫入了這些地方的時候他們就能夠履行任意代碼

包括添加管理員帳戶等等,這類通常是strcpy之類的函數,比如char szText[256],但是源字符串超越256字節

push ebp是保存棧底的值,這個棧底是調用之前的,然后

mov ebp, esp把棧頂賦值給棧底,相當于調用前的棧頂作為現在的棧底,再接著

sub esp, 4Ch棧頂減小4C=76(19個DWORD),相當于堆棧大小是76字節,這樣就創建了1個當前函數所使用的堆棧

接下來

push ebx將基址寄存器入棧,編譯器是很機械的,其實到現在為止,其實不需要基址寄存器,固然不需要暫存它的值,不過編譯器其實不是人,它不管這個

接著push esi和edi是串操作的原指針和目的指針,了解匯編語言的就知道,這小子開始批量處理了

lea edi,[ebp⑷Ch]其實ebp⑷Ch就是esp就是棧頂,棧頂地址作為目的(內存地址較低)

mov  ecx,13h數量0x13=19,還記得剛剛說的19個DWORD嗎?

mov  eax,0CCCCCCCCh,串操作的值,0xCCCCCCCC

rep stos dword ptr [edi],向edi指向的dword寫入eax的值,即0xcccccccc,如果ecx不為零,edi遞增1個dword繼續寫入

知道為何VC變量為何默許值總是0xCC了吧,局部變量都保存在堆棧上,現在全部堆棧都是這個值

其實還有1個用途,等下函數返回時我們再說.

現在"春田花花同學會"正式開始,

// var1 = arg1;

mov eax,dword ptr [ebp+8]

mov dword ptr [ebp⑷],eax

ebp是新的棧底指針,也就是原來的棧頂,前面調用的時候說過,call會push返回地址(指令地址不是返回值地址),

也就是說現在ebp指向的是返回地址?錯!注意開始的push ebp,它又壓入了1個DWORD,因此此時ebp指向的是原來的ebp

堆棧向低地址擴大,那末ebp+4就是函數的返回地址,順序倒過來,ebp+8就是最后1個push壓入的參數,也就是第1個參數!

堆棧向低地址擴大,那末ebp⑷就是第1個局部變量了,有人問為何要mov到eax,再從eax放到第1個局部變量?狄春說:這不是屢次1舉嗎

元芳說:mov指令兩個參數不能都是存儲器,也就是內存,這就是為何叫寄存器的緣由,英文為REGISTER是登記的意思,既是名詞也是動詞

想通了這1點,后面的就好理解了,只不過用低字,低字節來轉移而已

接著我們修改參數的值,其實也好理解了,由于調用后直接add esp,xx參數直接拋棄,因此其實不改變甚么,除臨時廢棄的堆棧

接著是賦值全局變量,將1個立即數傳送給全局變量的內存地址,也好理解了

沒有返回值單函數,函數結尾return沒有任何意義,如果在上面return會生成1條jmp指令,跳到這里來

最后,清算現場,最早push的最后pop恢復他們之前的值,恢復原來棧頂的值,pop恢復原來的棧底

最后1條ret指令,在函數調用時我們已說了,這里說1下的是,如果此時堆棧中的返回地址(恢復后的棧頂esp指向的地址)被修改了,會有甚么情況產生呢?

比如指向了ShellExecute這個API的地址,參數是cmd /c net user admin1 123456 /add

這個就留給大家思考吧, 還記得剛剛說0xCC的另外一個用途嗎,如果此時沒有ret,履行到后面就是0xCC這個機器碼對應的是int 3中斷

在debug,比如OllyDebug等會在斷點處插入0xCC,調試者繼續運行才恢復這個字節原來的值再繼續履行

所以,不經意間的緩沖區,常常釀成的是內存制止訪問,或中斷,而有些人卻對此10分敏感,就像有個美女裙子被吹起來,

阿彌陀佛,罪過!罪過!

文章好像很長了,我先int31下,下文繼續吧

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈