在x86汇编代码中跟踪堆栈_X86_Stack_Trace_Assembly

在x86汇编代码中跟踪堆栈

x86 assembly

在x86汇编代码中跟踪堆栈,x86,stack,trace,assembly,X86,Stack,Trace,Assembly,我正在看一门课的实践考试，我只是不理解问题的几个方面，所以也许你能帮我（如果你知道x86，可能真的很容易）这就是问题8：解决方法如下： \ 我只是不明白解是如何得到这些值的。让我来看看我是如何解释堆栈的： 08048510 <callfoo>: 08048510: 55 pushl %ebp # old frame pointer is pushed to the stack 08048511: 89 e5 movl %esp,

我正在看一门课的实践考试，我只是不理解问题的几个方面，所以也许你能帮我（如果你知道x86，可能真的很容易）

这就是问题8：

解决方法如下： \

我只是不明白解是如何得到这些值的。让我来看看我是如何解释堆栈的：

08048510 <callfoo>:
08048510: 55       pushl %ebp               # old frame pointer is pushed to the stack  
08048511: 89 e5    movl %esp,%ebp           # frame pointer = stack pointer
08048513: 83 ec 08 subl $0x8,%esp           # allocates 8 bytes for stack
08048516: 83 c4 f4 addl $0xfffffff4,%esp    # this I believe allocates 4 bytes to the stack??
08048519: 68 9c 85 04 08 pushl $0x804859c   # push string address
0804851e: e8 d1 ff ff ff call 80484f4 <foo> # call foo, which takes the string address as param1
08048523: 89 ec    movl %ebp,%esp           # (after foo) does similar to return out of function
08048525: 5d       popl %ebp
08048526: c3       ret

080484f4 <foo>:
080484f4: 55       pushl %ebp                  # push old frame pointer
080484f5: 89 e5    movl %esp,%ebp              # frame pointer = stack pointer
080484f7: 83 ec 18 subl $0x18,%esp             # allocate 24 bytes 
080484fa: 8b 45 08 movl 0x8(%ebp),%eax         # moves the param1 (string pointer) into eax
080484fd: 83 c4 f8 addl $0xfffffff8,%esp       # allocates 8 more bytes (?)
08048500: 50       pushl %eax                  # push x # pushes param1 to stack
08048501: 8d 45 fc leal 0xfffffffc(%ebp),%eax  # adds 12 to the frame pointer, puts it in eax(?)  
08048504: 50       pushl %eax                  # push buf (which apparently is located in eax and 0xc(%ebp)
08048505: e8 ba fe ff ff call 80483c4 <strcpy> # copies the string from param1 into buf
0804850a: 89 ec    movl %ebp,%esp              # puts stack pointer into ebp
0804850c: 5d       popl %ebp                   # pops ebp (returns back to other function)
0804850d: c3       ret

08048510：
08048510:55 pushl%ebp#旧帧指针被推送到堆栈
08048511:89 e5移动%esp，%ebp#帧指针=堆栈指针
08048513:83 ec 08 subl$0x8，%esp为堆栈分配8个字节
08048516:83 c4 f4 addl$0xfffffff4，%esp#我相信这会为堆栈分配4个字节？？
08048519:68 9c 85 04 08 push$0x804859c#推送字符串地址
0804851e:e8 d1 ff ff ff call 80484f4#call foo，它将字符串地址作为参数1
08048523:89 ec movl%ebp，%esp#（在foo之后）执行类似于退出功能的返回
08048525:5d popl%ebp
08048526:c3 ret
080484f4：
080484f4:55 pushl%ebp#推旧帧指针
080484f5:89 e5移动%esp，%ebp#帧指针=堆栈指针
080484f7:83 ec 18 subl$0x18，%esp#分配24字节
080484fa:8b 45 08 movl 0x8（%ebp），%eax#将参数1（字符串指针）移动到eax中
080484fd:83 c4 f8 addl$0xfffffff8，%esp#再分配8个字节（？）
08048500:50 pushl%eax#push x#将参数1推送到堆栈
08048501:8d 45 fc leal 0xfffffffc（%ebp），%eax#向帧指针添加12，将其放入eax（？）
08048504:50 pushl%eax#PushBUF（显然位于eax和0xc（%ebp）中）
08048505:e8 ba fe ff ff调用80483c4#将字符串从param1复制到buf
0804850a:89 ec movl%ebp，%esp将堆栈指针放入ebp
0804850c:5d popl%ebp#pops ebp（返回到其他函数）
0804850d:c3 ret

（a）这样做之后，我想我可以看到buf[0]=

0x64636261

。一个字符是一个字节，并且是小尾端，它也可以这样读：buf[0]=

0x61626364

（虽然我不知道我的教授是否会接受这个答案）。然而，我不明白buf[2]等于
0x08040069
或
0x69000408
。它有最后一个字符，然后是空字符，但
04
和
08
是什么

（b）我不知道如何获得（b）或（c）。我甚至从哪里获得
esp
的价值是为了找出
ebp
在
foo
开头的内容？总的来说，我只是对最后两个问题感到困惑…帮助？：（
这段代码中似乎有很多不必要的堆栈指针操作，但真正重要的是
buf
变量位于
ebp-4
。从序列中可以看出：

leal 0xfffffffc(%ebp),%eax pushl %eax call 80483c4 <strcpy>
然后，当调用函数
foo
时，调用后的指令地址（
08048523
）被推送到堆栈上作为返回地址

08048523 # return address
然后在foo内部，ebp保存在堆栈上。此时它可以是任何东西

???????? # saved ebp
然后ebp设置为esp，因此它现在指向上一个ebp保存的位置
现在，因为我们知道
buf
位于ebp-4，这意味着堆栈上的下一项将是
buf
。堆栈上分配的空间比
subl
和
addl
指令所需的空间多得多，但我们所关心的是
buf
位于
ebp-4
。因此，st的部分我们关心的ack如下所示：

0804859c # string pointer 08048523 # return address ???????? # saved ebp <- ebp points here ???????? # buff[0] <- ebp-4 points here

0804859c # string pointer 08040069 # return address 68676665 # saved ebp <- ebp points here 64636261 # buff[0] <- ebp-4 points here
从这一点来看，对各种问题的答案应该是相当明显的
由于堆栈在内存中向下构建，
buff[1]
和
buff[2]
位于堆栈表示法中
buff[0]
的正上方。因此，您可以看到各种buff值如下所示：

buff[0] = 0x64636261 buff[1] = 0x68676665 buff[2] = 0x08040069
紧接着在
ret
指令之前，我们有以下两条指令：

movl %ebp,%esp popl ebp
第一个选项将esp设置为ebp的当前值，因此它将指向堆栈上保存前一个ebp的位置。但是，查看堆栈表示，您可以看到该值现在已被
68676665
覆盖。因此，当您弹出ebp时，您将获得该值

%ebp = 0x68676665
类似地，当函数返回时，它将尝试从堆栈中弹出返回地址，但是您可以再次从堆栈表示中看到原始返回地址已被部分覆盖。因此，在
ret
指令之后，eip将立即弹出
08040069

$eip = 0x08040069
我认为，这回答了你所有的问题

我意识到这个问题已经有好几年了，但它还没有结束，也没有一个被接受的答案，所以也许这个解释对某些人仍然有用。
是的，我得到了这种联系，我只是不认为buf之后的内存部分会100%包含地址的开头。因此我会不要把它放在测试中。（b）（c）就这一点而言更令人困惑，我只是不知道他们从哪里得到这些地址。/当在0804851e调用foo时，下一条指令（返回地址）被推入堆栈（08048523）.Foo将8个字节分配给堆栈，然后写入10个字节，从而部分覆盖堆栈上的返回地址。啊，因此这一个与缓冲区溢出有关。但是，出于某种原因，我将其理解为分配了超过10个字节。你能告诉我在程序集的注释中哪里出错了吗？我让它分配了24个字节，然后又分配了8个字节s、总共是32个字节，然后是%eax=%ebp+12，我认为这是到了错误的位置，因为这不是到了外部吗
$eip = 0x08040069