gpt4 book ai didi

损坏的主函数堆栈

转载 作者:行者123 更新时间:2023-11-30 14:21:26 25 4
gpt4 key购买 nike

我有以下 C 代码:

int main()
{
char s[10];

scanf("%s", s);
}

编辑:为上层 C 程序生成的程序集如下:

push   %rbp
mov %rsp,%rbp
sub $0x10,%rsp
lea -0x10(%rbp),%rax
mov %rax,%rsi
mov $0x4005e4,%edi
mov $0x0,%eax
callq 400420 <__isoc99_scanf@plt>
leaveq
retq

如果用户输入的内容超过数组的大小,将会导致覆盖其他堆栈值。查看生成的程序集,我发现 gcc 将堆栈指针降低了 16 个字节,而不是 10 个字节(字对齐)。因此,如果我输入超过 16 个字节,堆栈就会损坏,并且在返回 main 时它可能只是段错误。

有趣的是,这种行为确实发生了,但如果我输入很多字符,就会发生这种情况。为什么它在 17 个字符时没有失败?

最佳答案

实际行为围绕如何在堆栈上分配内存的细节(这取决于实现,导致未定义的行为)。假设当您的代码被输入(调用)时,堆栈偏移量为 0,RSP 指向的是返回地址。

如果您快速浏览一下汇编程序,您可能会突然想到:

sub    $0x10,%rsp

这为您的局部变量保留了空间,而您也在期待这一点。很容易认为这 16 个字节是我们保留的唯一堆栈空间。如果我们超过这个范围,我们将覆盖返回值并使进程(或至少是线程)崩溃。

因为很容易错过第一条指令:

push   %rbp

将基指针保存为调用约定的一部分(以便可以跟踪调用堆栈),并额外占用 8 个字节(对于 64 位架构,ebp 在 32 位上只有 4 个字节)。因此,在开始覆盖返回地址之前,您还有 24 个字节。请记住,如果您输入 24 个字符,终止空字符 ('\0') 将被存储为第 25 个字符,而这将破坏返回地址。

虽然存储在堆栈上的基指针也被覆盖,但此后它不会在 main 中使用。但请注意,调用者会陷入困境,因为:

leaveq

将 RSP 设置为 RBP,然后设置 POP RBP。因此,如果调用者在调用返回后引用局部变量,则可能会出现问题。如果调用者不同(如果您使用不同的运行时),则写入第 17 个字符可能会出现问题(可能导致调用者中出现 SEGFAULT)。

关于损坏的主函数堆栈,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14694680/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com