今天研究了一下vc6函數(shù)調(diào)用,看看vc6調(diào)用函數(shù)時候都做了什么。有些意思。
我寫下了如下代碼:
int fun(int a,int b)
{
int i = 3;
return a+b+i;
}
int main()
{
int a = 1,b=2;
int result ;
result = fun(1,2);
return result;
}
非常簡單。反匯編后(Debug版)變成這樣
1: int fun(int a,int b)
2: {
00401020 push ebp
00401021 mov ebp,esp
00401023 sub esp,44h
00401026 push ebx
00401027 push esi
00401028 push edi
00401029 lea edi,[ebp-44h]
0040102C mov ecx,11h
00401031 mov eax,0CCCCCCCCh
00401036 rep stos dword ptr [edi]
3: int i = 3;
00401038 mov dword ptr [ebp-4],3
4: return a+b+i;
0040103F mov eax,dword ptr [ebp+8]
00401042 add eax,dword ptr [ebp+0Ch]
00401045 add eax,dword ptr [ebp-4]
5: }
00401048 pop edi
00401049 pop esi
0040104A pop ebx
0040104B mov esp,ebp
0040104D pop ebp
0040104E ret
7: int main()
8: {
00401060 push ebp
00401061 mov ebp,esp
00401063 sub esp,4Ch
00401066 push ebx
00401067 push esi
00401068 push edi
00401069 lea edi,[ebp-4Ch]
0040106C mov ecx,13h
00401071 mov eax,0CCCCCCCCh
00401076 rep stos dword ptr [edi]
9: int a = 1,b=2;
00401078 mov dword ptr [ebp-4],1
0040107F mov dword ptr [ebp-8],2
10: int result ;
11: result = fun(1,2);
00401086 push 2
00401088 push 1
0040108A call @ILT+5(fun) (0040100a)
0040108F add esp,8
00401092 mov dword ptr [ebp-0Ch],eax
12: return result;
00401095 mov eax,dword ptr [ebp-0Ch]
13: }
00401098 pop edi
00401099 pop esi
0040109A pop ebx
0040109B add esp,4Ch
0040109E cmp ebp,esp
004010A0 call __chkesp (004010c0)
004010A5 mov esp,ebp
004010A7 pop ebp
004010A8 ret
我們主要來看看函數(shù)調(diào)用部分
1.參數(shù)壓棧push 2
push 1
參數(shù)從右向左壓棧(__cdcel),esp遞減
2.調(diào)用函數(shù) call @ILT+5(fun) (0040100a)
這條指令會把下一行代碼的地址壓棧,也就是函數(shù)返回地址。同時跳轉(zhuǎn)到函數(shù)入口處
3.進入函數(shù)體push ebp
mov ebp,esp
首先保存ebp的地址,然后把esp保存到ebp中去
00401023 sub esp,44h
00401026 push ebx
00401027 push esi
00401028 push edi
減小stack的指針(注意,stack是從內(nèi)存的高端向低端生長的),為局部變量保留一些空間,這里的44h不是固定的,由編譯器計算得來
00401029 lea edi,[ebp-44h]
0040102C mov ecx,11h
00401031 mov eax,0CCCCCCCCh
00401036 rep stos dword ptr [edi]
用0xCC填充局部變量空間。這是Debug模式特有的,如果是字符串,你就看到被初始化成"燙燙燙燙燙燙"
至此,整個堆棧變成
|-----------------|
| 局部變量2 |
|-----------------|
| 局部變量1 |<----ebp-4
|-----------------|
| old ebp |<----ebp
|-----------------|
| 函數(shù)返回地址| <----ebp+4
|-----------------|
| 參數(shù)1 | <----ebp+8
|-----------------|
| 參數(shù)2 |
|-----------------|
Next:
int i = 3;
00401038 mov dword ptr [ebp-4],3
這里你看到[ebp-4]就是第一個局部變量i了
0040103F mov eax,dword ptr [ebp+8]
00401042 add eax,dword ptr [ebp+0Ch]
00401045 add eax,dword ptr [ebp-4]
[ebp+8],[ebp+0Ch]分別是a和b了
4.函數(shù)返回函數(shù)的結(jié)果都是放在eax中(ps:你可以在vc的watch窗口輸入@EAX,就可以直接看到函數(shù)返回值了)
00401048 pop edi
00401049 pop esi
0040104A pop ebx
0040104B mov esp,ebp
0040104D pop ebp
0040104E ret
把edi,esi,ebx恢復(fù),然后恢復(fù)esp,ebp,這時函數(shù)的返回地址就在棧頂,調(diào)用ret就可以返回了。
那如果改變函數(shù)的返回地址會怎樣?
ok,我們修改一下代碼:
#include <stdio.h>
void fun2()
{
printf("fun2() called");
}
int fun(int a,int b)
{
int i = 3;
printf("return address:0x%x\n",&i+2);
printf("fun2 address:0x%x\n",&fun2);
/*int *p = (int*)&fun2;
__asm
{
mov ebx,p
mov dword ptr[ebp+4],ebx
}*/
*(&i+2)=(int)&fun2; //modify return address
return a+b+i;
}
int main()
{
int a = 1,b=2;
int result ;
result = fun(1,2);
return result;
}
Wow,這時,我們就會發(fā)現(xiàn)fun2被調(diào)用了。這就是Buffer overrun(緩沖溢出)所做的事情吧。
5.最后一步,調(diào)用者調(diào)整堆棧指針call @ILT+5(fun) (0040100a)
add esp,8
為什么要調(diào)整呢,因為調(diào)用之前push兩個參數(shù)進入棧,現(xiàn)在要恢復(fù)它
mov dword ptr [ebp-0Ch],eax
這句話就是享用函數(shù)調(diào)用的果實了(EAX保存了函數(shù)的返回值)
------end--------