c - 汇编中保留的堆栈空间似乎与 C 代码不匹配

Question

我有以下代码示例:

int main(int argc, char **argv) {
    char *name[2];
    name[0] = "/bin/sh";
    name[1] = NULL;
    execve(name[0], name, NULL);
    exit(0);
}

反汇编程序会导致类似于:

1.  0x08048250 <main+0>: push %ebp
2.  0x08048251 <main+1>: mov %esp,%ebp
3.  0x08048253 <main+3>: and $0xfffffff0,%esp
4.  0x08048256 <main+6>: sub $0x20,%esp
5.  0x08048259 <main+9>: movl $0x80a6f68,0x18(%esp)
6.  0x08048261 <main+17>: movl $0x0,0x1c(%esp)
7.  0x08048269 <main+25>: mov 0x18(%esp),%eax
8.  0x0804826d <main+29>: movl $0x0,0x8(%esp)
9.  0x08048275 <main+37>: lea 0x18(%esp),%edx
10. 0x08048279 <main+41>: mov %edx,0x4(%esp)
11. 0x0804827d <main+45>: mov %eax,(%esp)
12. 0x08048280 <main+48>: call 0x804f5c0 <execve>
13. 0x08048285 <main+53>: movl $0x0,(%esp)
14. 0x0804828c <main+60>: call 0x8048af0 <exit>

我正在尝试理解程序集:

第4行减栈指针为局部变量分配空间，但我不明白为什么要保留32字节(0x20=32字节)？据我了解，它应该只需要分配:

• 指针“name”的 4 个字节
• 字符串“/bin/sh”8个字节；
• NULL 是否也占用空间？如果是这样，它相当于 4 个字节的 0x0，对吗？
• argc 和 argv 不是这个堆栈框架的一部分，对吗？它们由主调用者推送，因此不需要在此堆栈框架中保留。

我还看到一些数据存储在堆栈指针的偏移处，但似乎并没有使用所有空间。

有人可以解释一下这个组件吗？我无法将 C 代码映射到给定的汇编指令。特别是因为保留空间的长度似乎与 c 代码不匹配。

我特别感兴趣:

• 第 3 行:这是做什么用的？
• 第 9 行:这是做什么的？
• 第 11 行和第 13 行:(%esp) 语法是什么意思？

谢谢!

Answer 1

关于“它应该只需要分配”:

• “指针名称的 4 个字节”- 不完全是。 name 是一个包含两个指针的数组，因此 2*4 = 8 个字节(假设您使用的是 32 位指针，这就是它看起来的样子)。

• “字符串“/bin/sh”的 8 个字节 - 这不会在堆栈上。它将在二进制文件的其他地方(可能是 .rodata 段，即只读数据)，所以不占用任何堆栈空间。

• “NULL也占空间吗？” - NULL 是(可能，除非你有一个反常的 C 编译器)值 0。“值”本身不能占用堆栈空间，但如果堆栈上有一个值为 NULL 的变量，那么你会在堆栈。

• “argc 和 argv [etc]”- 这些可以说是此函数调用的堆栈帧的一部分，但由调用者初始化，因此不会通过减少 %esp 来保留。

“似乎没有使用所有空间”- 由于对齐，一般来说是正确的。考虑:

struct {
    char ch;
    int *ptr;
};

对于这种结构情况，我们将有一个单字节的 char，然后是三个字节的填充以便正确对齐 ptr，然后是四个字节的 ptr。 (如果指针是 64 位，则填充 7 个字节。)如果我们在堆栈上分配这些结构之一，那么我们将有三个(或 7 个)“未使用的”堆栈字节。

但是，在这种情况下，编译器会在堆栈上为初始“sub ... %esp”指令中的 execve() 调用的参数创建空间，这是一个轻微的优化。

第 3 行:对齐:在 16 字节边界上对齐 %esp。 (对任何人来说都应该足够了。)第 4 行:创建一些堆栈空间。其中一些是局部变量；编译器将函数调用放在一起时，它的一些其他字节用于暂存空间。

第 9 行:这(有效地)将字符串“/bin/sh”放入 %edx。该字符串的地址位于二进制文件中的位置 0x80a6f68(这将是加载 .rodata 的位置)。第 5 行将值 0x80a6f68 放入 (%esp + 0x18)。第 9 行将 *(%esp + 0x18)，即 *(char **)0x80a6f68，放入 %edx。

第 11 行:(%esp) 实际上是指针遵循:*esp = eax。它将 eax 寄存器的值放入 *esp，即堆栈指针正上方的四个字节。 eax 的值在第 7 行定义。

第 13 行:这会将 *esp 设置为 0x00000000。由于我们随后调用了 exit()，这会将 exit 的第一个参数(即 *esp)设置为 0。