我的书签
添加书签
移除书签5.1 x86: 3个参数
5.1.1 MSVC
在我们用MSVC 2010 Express编译后可以看到:
$SG3830 DB ’a=%d; b=%d; c=%d’, 00H...push 3push 2push 1push OFFSET $SG3830call _printfadd esp, 16 ; 00000010H
这和之前的代码几乎一样,但是我们现在可以看到printf()的参数被反序压入了栈中。第一个参数被最后压入。
另外,在32bit的环境下int类型变量占4 bytes。
那么,这里有4个参数 4*4=16 —— 恰好在栈中占据了16bytes:一个32bit字符串指针,和3个int类型变量。
当函数执行完后,执行"ADD ESP, X"指令恢复栈指针寄存器(ESP 寄存器)。通常可以在这里推断函数参数的个数:用 X除以4。
当然,这只涉及__cdecl函数调用方式。
也可以在最后一个函数调用后,把几个ADD ESP, X指令合并成一个。
push a1push a2call ......push a1call ......push a1push a2push a3call ...add esp, 24
5.1.2 MSVC 与 ollyDbg
现在我们来在OllyDbg中加载这个范例。我们可以尝试在MSVC 2012 加 /MD 参数编译这个示例,也就是链接MSVCR*.dll,那么我们就可以在debugger中清楚的看到调用的函数。
在OllyDbg中载入程序,最开始的断点在ntdll.dll中,接着按F9(run),然后第二个断点在CRT-code中。现在我们来找main()函数。
往下滚动屏幕,找到下图这段代码(MSVC把main()函数分配在代码段开始处) 见图5.3
点击 PUSH EBP指令,按下F2(设置断点)然后按下F9(run),通过这些操作来跳过CRT-code,因为我们现在还不必关注这部分。
按6次F8(step over)。见图5.4 现在EIP 指向了CALL printf的指令。和其他调试器一样,OllyDbg高亮了有值改变的寄存器。所以每次你按下F8,EIP都在改变然后它看起来便是红色的。ESP同时也在改变,因为它是指向栈的
栈中的数据又在哪?那么看一下调试器右下方的窗口:
图 5.1
然后我们可以看到有三列,栈的地址,元组数据,以及一些OllyDbg的注释,OllyDbg可以识别像printf()这样的字符串,以及后面的三个值。
右击选中字符串,然后点击”follow in dump”,然后字符串就会出现在左侧显示内存数据的地方,这些内存的数据可以被编辑。我们可以修改这些字符串,之后这个例子的结果就会变的不同,现在可能并不是很实用。但是作为练习却非常好,可以体会每部分是如何工作的。
再按一次F8(step over)
然后我们就可以看到输出
图5.2 执行printf()函数
让我们看看寄存器和栈是怎样变化的 见图5.5
EAX寄存器现在是0xD(13).这是正确的,printf()返回打印的字符,EIP也变了——
事实上现在指向CALL printf之后下一条指令的地址.ECX和EDX的值也改变了。显然,printf()函数的内部机制对它们进行了使用。
很重要的一点ESP的值并没有发生变化,栈的状态也是!我们可以清楚地看到字符串和相应的3个值还是在那里,实际上这就是cdecl调用方式。被调用的函数并不清楚栈中参数,因为这是调用体的任务。
再按一下F8执行ADD ESP, 0见图5.6
ESP改变了,但是值还是在栈中!当然 没有必要用0或者别的数据填充这些值。
因为在栈指针寄存器之上的数据都是无用的。
图5.3 OllyDbg:main()初始处
图5.4 OllyDbg:printf()执行时
图5.5 Ollydbg:printf()执行后
图5.6 OllyDbg ADD ESP, 10执行完后
5.1.3 GCC
现在我们将同样的程序在linux下用GCC4.4.1编译后放入IDA看一下:
main proc nearvar_10 = dword ptr -10hvar_C = dword ptr -0Chvar_8 = dword ptr -8var_4 = dword ptr -4push ebpmov ebp, espand esp, 0FFFFFFF0hsub esp, 10hmov eax, offset aADBDCD ; "a=%d; b=%d; c=%d"mov [esp+10h+var_4], 3mov [esp+10h+var_8], 2mov [esp+10h+var_C], 1mov [esp+10h+var_10], eaxcall _printfmov eax, 0leaveretnmain endp
MSVC与GCC编译后代码的不同点只是参数入栈的方法不同,这里GCC不用PUSH/POP而是直接对栈操作。
5.1.4 GCC与GDB
接着我们尝试在linux中用GDB运行下这个示例程序。
-g 表示将debug信息插入可执行文件中
$ gcc 1.c -g -o 1
反编译:
$ gdb 1GNU gdb (GDB) 7.6.1-ubuntuCopyright (C) 2013 Free Software Foundation, Inc.License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law. Type "show copying"and "show warranty" for details.This GDB was configured as "i686-linux-gnu".For bug reporting instructions, please see:<http://www.gnu.org/software/gdb/bugs/>...Reading symbols from /home/dennis/polygon/1...done.
表5.1 在printf()处设置断点
(gdb) b printfBreakpoint 1 at 0x80482f0
Run 这里没有printf()函数的源码,所以GDB没法显示出源码,但是却可以这样做
(gdb) runStarting program: /home/dennis/polygon/1Breakpoint 1, __printf (format=0x80484f0 "a=%d; b=%d; c=%d") at printf.c:2929 printf.c: No such file or directory.
打印10组栈中的元组数据,左边是栈中的地址
(gdb) x/10w $esp0xbffff11c: 0x0804844a 0x080484f0 0x00000001 0x000000020xbffff12c: 0x00000003 0x08048460 0x00000000 0x000000000xbffff13c: 0xb7e29905 0x00000001
最开始的是返回地址(0x0804844a),我们可以确定在这里,于是可以反汇编这里的代码
(gdb) x/5i 0x0804844a0x804844a <main+45>: mov $0x0,%eax0x804844f <main+50>: leave0x8048450 <main+51>: ret0x8048451: xchg %ax,%ax0x8048453: xchg %ax,%ax
两个XCHG指令,明显是一些垃圾数据,可以忽略 第二个(0x080484f0)是一处格式化字符串
(gdb) x/s 0x080484f00x80484f0: "a=%d; b=%d; c=%d"
而其他三个则是printf()函数的参数,另外的可能只是栈中的垃圾数据,但是也可能是其他函数的数据,例如它们的本地变量。这里可以忽略。 执行 finish ,表示执行到函数结束。在这里是执行到printf()完。
(gdb) finishRun till exit from #0 __printf (format=0x80484f0 "a=%d; b=%d; c=%d") at printf.c:29main () at 1.c:66 return 0;Value returned is $2 = 13
GDB显示了printf()函数在eax中的返回值,这是打印字符的数量,就像在OllyDbg中一样。
我们同样看到了return 0;及这在1.c文件中第6行所代表的含义。1.c文件就在当前目录下,GDB就在那找到了字符串。但是GDB又是怎么知道当前执行到了哪一行?
事实上这和编译器有关,当生成调试信息时,同样也保存了一张代码行号与指令地址的关系表。
查看EAX中储存的13:
(gdb) info registerseax 0xd 13ecx 0x0 0edx 0x0 0ebx 0xb7fc0000 -1208221696esp 0xbffff120 0xbffff120ebp 0xbffff138 0xbffff138esi 0x0 0edi 0x0 0eip 0x804844a 0x804844a <main+45>...
反汇编当前的指令
(gdb) disasDump of assembler code for function main:0x0804841d <+0>: push %ebp0x0804841e <+1>: mov %esp,%ebp0x08048420 <+3>: and $0xfffffff0,%esp0x08048423 <+6>: sub $0x10,%esp0x08048426 <+9>: movl $0x3,0xc(%esp)0x0804842e <+17>: movl $0x2,0x8(%esp)0x08048436 <+25>: movl $0x1,0x4(%esp)0x0804843e <+33>: movl $0x80484f0,(%esp)0x08048445 <+40>: call 0x80482f0 <printf@plt>=> 0x0804844a <+45>: mov $0x0,%eax0x0804844f <+50>: leave0x08048450 <+51>: retEnd of assembler dump.
GDB默认使用AT&T语法显示,当然也可以转换至intel:
(gdb) set disassembly-flavor intel(gdb) disasDump of assembler code for function main:0x0804841d <+0>: push ebp0x0804841e <+1>: mov ebp,esp0x08048420 <+3>: and esp,0xfffffff00x08048423 <+6>: sub esp,0x100x08048426 <+9>: mov DWORD PTR [esp+0xc],0x30x0804842e <+17>: mov DWORD PTR [esp+0x8],0x20x08048436 <+25>: mov DWORD PTR [esp+0x4],0x10x0804843e <+33>: mov DWORD PTR [esp],0x80484f00x08048445 <+40>: call 0x80482f0 <printf@plt>=> 0x0804844a <+45>: mov eax,0x00x0804844f <+50>: leave0x08048450 <+51>: retEnd of assembler dump.
执行下一条指令,GDB显示了结束大括号,代表着这里是函数结束部分。
(gdb) step7 };
在执行完MOV EAX, 0后我们可以看到EAX就已经变为0了。
(gdb) info registerseax 0x0 0ecx 0x0 0edx 0x0 0ebx 0xb7fc0000 -1208221696esp 0xbffff120 0xbffff120ebp 0xbffff138 0xbffff138esi 0x0 0edi 0x0 0eip 0x804844f 0x804844f <main+50>...
