1.C语言代码
#include <stdio.h>
char* GetMemory(void)
{
char p[] = "hello world";
return p;
}
void Test(void)
{
char* str = NULL;
str = GetMemory();
printf(str);
}
int main()
{
Test();
return 0;
}2.反汇编代码
VS2022+x64+debug
#include <stdio.h>
char* GetMemory(void)
{
push rbp
push rsi
push rdi
sub rsp,110h
lea rbp,[rsp+20h]
lea rdi,[rsp+20h]
mov ecx,0Ch
mov eax,0CCCCCCCCh
rep stos dword ptr [rdi]
mov rax,qword ptr [__security_cookie (07FF68B18D000h)]
xor rax,rbp
mov qword ptr [rbp+0E8h],rax
lea rcx,[__2D923C74_FileName@c (07FF68B192008h)]
call __CheckForDebuggerJustMyCode (07FF68B181375h)
nop
char p[] = "hello world";
lea rax,[p]
lea rcx,[string "hello world" (07FF68B18ACA8h)]
mov rdi,rax
mov rsi,rcx
mov ecx,0Ch
rep movs byte ptr [rdi],byte ptr [rsi]
return p;
lea rax,[p]
}
mov rdi,rax
lea rcx,[rbp-20h]
lea rdx,[__xt_z+1E0h (07FF68B18AC80h)]
call _RTC_CheckStackVars (07FF68B181311h)
mov rax,rdi
mov rcx,qword ptr [rbp+0E8h]
xor rcx,rbp
call __security_check_cookie (07FF68B1811B8h)
lea rsp,[rbp+0F0h]
pop rdi
pop rsi
pop rbp
ret
............
void Test(void)
{
push rbp
push rdi
sub rsp,108h
lea rbp,[rsp+20h]
lea rcx,[__2D923C74_FileName@c (07FF68B192008h)]
call __CheckForDebuggerJustMyCode (07FF68B181375h)
nop
char* str = NULL;
mov qword ptr [str],0
str = GetMemory();
call GetMemory (07FF68B18106Eh)
mov qword ptr [str],rax
printf(str);
mov rcx,qword ptr [str]
call printf (07FF68B18119Fh)
nop
}
lea rsp,[rbp+0E8h]
pop rdi
pop rbp
ret
............
int main()
{
push rbp
push rdi
sub rsp,0E8h
lea rbp,[rsp+20h]
lea rcx,[__2D923C74_FileName@c (07FF68B192008h)]
call __CheckForDebuggerJustMyCode (07FF68B181375h)
nop
Test();
call Test (07FF68B18118Bh)
nop
return 0;
xor eax,eax
}
lea rsp,[rbp+0C8h]
pop rdi
pop rbp
ret 3.分析
在深入讲解之前,补充没有讲过的指令:lea,以及lea和mov指令的对比
8086的指令集是这样说的:
lea指令的全称:load effective address,加载有效地址(常用于C语言的&取地址)
mov指令的全称:move
lea指令的作用
1.给普通指针赋值
复制以下代码到VS2022以x86+debug环境调试
int main()
{
int a = 0;//映射(映射要加粗)到一个内存地址
int* p = &a;
return 0;
}
反汇编显示
int a = 0;
mov dword ptr [a],0
int* p = &a;
lea eax,[a]
mov dword ptr [p],eax备注:称为普通指针的原因是因为和结构体指针做区别
这里的lea eax,[a]
[a]代表a的地址,lea的含义:将a的地址加载到eax寄存器中
2.给结构体指针赋值
复制以下代码到VS2022以x86+debug环境调试
typedef struct INFO
{
char c;
int id;
float f;
}INFO;
int main()
{
INFO info = { 'A',100,6.6f };
INFO* pInfo = &info;
return 0;
}反汇编显示
INFO* pInfo = &info;
lea eax,[info]
mov dword ptr [pInfo],eax 注意到lea eax,[info],为结构体指针赋值
mov 指令的作用
1.取普通指针指向地址的值(等价为C语言的*)
复制以下下代码到VS2022以x86+debug环境调试
int main()
{
int iNUM = 0;
int* pNUM = &iNUM;
int flag = *pNUM;
return 0;
}反汇编显示
int iNUM = 0;
mov dword ptr [iNUM],0
int* pNUM = &iNUM;
lea eax,[iNUM]
mov dword ptr [pNUM],eax
int flag = *pNUM;
mov eax,dword ptr [pNUM]
mov ecx,dword ptr [eax]
mov dword ptr [flag],ecx 对dword ptr [...]的解释:mov dword ptr [iNUM],0 把0赋值到iNUM指向的地址中(这里的[pNUM]为普通指针,dword ptr [iNUM]就是普通指针指向地址的值)
注意到最后三个指令:
mov eax,dword ptr [pNUM]
mov ecx,dword ptr [eax]
mov dword ptr [flag],ecx
这里由ecx做中转寄存器(x86环境不支持mov dword ptr [flag],dword ptr [eax])
2.取结构体指针指向地址里的值
复制以下代码到VS2022以x86+debug环境调试
typedef struct INFO
{
char c;
int id;
float f;
}INFO;
int main()
{
INFO info = { 'A',100,6.6f };
INFO* pInfo = &info;
char c = pInfo->c;
return 0;
}
反汇编显示
INFO info = { 'A',100,6.6f };
mov byte ptr [info],41h
mov dword ptr [ebp-10h],64h
movss xmm0,dword ptr [__real@40d33333 (0B77BCCh)]
movss dword ptr [ebp-0Ch],xmm0
INFO* pInfo = &info;
lea eax,[info]
mov dword ptr [pInfo],eax
char c = pInfo->c;
mov eax,dword ptr [pInfo]
mov cl,byte ptr [eax]
mov byte ptr [c],cl
注意到最后三个指令均为mov指令
->为结构体的特有的符号,虽然不用*表示,但确有*的作用
备注:mov cl,byte ptr [eax] (byte对应cl寄存器)
在结尾处添加以下代码重新调试
char c = pInfo->c;
int id = pInfo->id;
对比这两行代码反汇编的不同之处
char c = pInfo->c;
mov eax,dword ptr [pInfo]
mov cl,byte ptr [eax]
mov byte ptr [c],cl
int id = pInfo->id;
mov eax,dword ptr [pInfo]
mov ecx,dword ptr [eax+4]
mov dword ptr [id],ecx
注意到:
mov cl,byte ptr [eax+0]
mov ecx,dword ptr [eax+4]
发现eax加的偏移量不同(之前讲过结构体的内存对齐,见63.【C语言】再议结构体(上)文章)
对于char c = pInfo->c;结构体首元素从偏移量为0处开始存储
对于int id = pInfo->id;id的对齐数为4,VS的默认对齐数为8,4<8从偏移量为4的整数倍开始存储
备注:一个空格的存储空间为1个字节
3.总结->的作用
1.取结构体的首地址
2.首地址+成员变量的偏移(例如:eax+?)
3.mov取得到地址里面的值,刚好得到了成员变量的值
4.回到本文分析
由上方lea指令的讲解可知
lea rax,[p]
将p的地址加载到rax中
lea rcx,[string "hello world" (07FF68B18ACA8h)]
将已经写入内存的hello world字符串的首字符的地址加载至rcx中
mov rdi,rax
mov rsi,rcx
rax赋值给rdi,rcx赋值给rsi
mov ecx,0Ch
在ecx中设置计数次数为0Ch次"hello world\0"一共12个字符(不要忘记隐含的\0)
rep movs byte ptr [rdi],byte ptr [rsi]
[rdi]和[rsi]为指针,从[rsi]处重复复制(rep movs)字节(一次复制一个字节)至[rdi]处
重复复制rcx(0Ch)次,注意:每复制一次,rdi+1,rsi+1,rcx-1
注意:rep指令这里和8086CPU有所不同,VS中默认每复制一次指针+1(运行环境已经提前设置好了),但是8086CPU要设置方向(cld或std)
............
mov rdi,rax
............
pop rdi
虽然恢复了rdi指针的值使其指向了复制过后的字符串的首字符,但是最后出栈的值给了rdi,
rdi重新恢复为0,指针丢失,因此str为野指针
对rdi重新恢复为0的解释
x86+debug环境,VS打开调试模式
有push,就有pop
;保存rbp,rsi,rdi的值
push rbp
push rsi
push rdi
-------------------------------------------------------------------------------------------
;恢复rbp,rsi,rdi原来的值
pop rdi
pop rsi
pop rbp 执行push rbp之前,查看寄存器
注意到rdi=0,因此在GetMemroy函数的最后pop rdi时,rdi的值恢复为0
