11 Mar 2013
关于栈空间的思考一则
年前把 BLOG 搭好后,过了个年,就把这事给搁置了。从今天重新捡起来,准备坚持每周至少写一篇。写作主题是自己的所思所想,遇到问题的解决办法及思考。不转贴,不拾人牙慧,不做网上资料汇总。
如果文章有表述不正确的地方,请不吝指教。
一时半会没有想到写什么好。就写最近遇到的一个问题的思考。
前几天,有个人问我,他在 RHEL 5.8 32bit 上写了一个很简单的 C 程序,结果很奇怪。代码如下,为了说明问题,我稍做了改变。
--------------------------------------main.c
#include <sdtio.h>
int main()
{
int a = 1, b = 2;
char s[5] = "test";
printf("a=%d b=%d s=%s\n", a, b, s);
scanf("%s", s);
printf("a=%d b=%d s=%s\n", a, b, s);
return 0;
}
--------------------------------------main.c
RHEL 5.8 上的 GCC 版本是 4.1.2,编译后运行,如果输入的是 abcd,输出结果正常,如果输入 abcde,a 的值会变成 0。如下所示。
$ ./a.out
a=1 b=2 s=test
abcd
a=1 b=2 s=abcd
$ ./a.out
a=1 b=2 s=test
abcde
a=0 b=2 s=abcde
于是我跟他说,你再多输几个字符的话,至少要输上 9 个字符,b 的值也会变的。证实一下。
$ ./a.out
a=1 b=2 s=test
abcdexxxxy
a=2021161080 b=121 s=abcdexxxxy
如果我们看一下程序运行后栈中数据的分布,一切就都恍然大悟了。
输入 abcde 后 输入 adbcdexxxxy 后
----------------------------------------------------------------
高地址| EBP | ==> EBP | EBP | | EBP |
----------- ----------- -----------
| | | | | |
----------- ----------- -----------
... ... ...
----------- ----------- -----------
| 0x00 | | 0x00 | | 0x00 |
----------- ----------- -----------
| 0x00 | | 0x00 | | 0x00 |
----------- ----------- -----------
| 0x00 | | 0x00 | | '\0' |
----------- ----------- -----------
| 0x02 | ==> b | 0x02 | | 'y' |
----------- ----------- -----------
| 0x00 | | 0x00 | | 'x' |
----------- ----------- -----------
| 0x00 | | 0x00 | | 'x' |
----------- ----------- -----------
| 0x00 | | 0x00 | | 'x' |
----------- ----------- -----------
| 0x01 | ==> a | '\0' | | 'x' |
----------- ----------- -----------
| '\0' | | 'e' | | 'e' |
----------- ----------- -----------
| 't' | | 'd' | | 'd' |
----------- ----------- -----------
| 's' | | 'c' | | 'c' |
----------- ----------- -----------
| 'e' | | 'b' | | 'b' |
----------- ----------- -----------
| 't' | ==> s | 'a' | | 'a' |
--------------- --------------- ---------------
... ... ...
----------- ----------- -----------
低地址| | ==> ESP | | | |
----------- ----------- -----------
- 当输入 abcde 时,最后的结束符 ‘\0’ 把类型为 int 的变量 a 的最低字节 (因为此时数据存储是小端模式,低字节存在低地址) 所在的内存空间覆盖,导致 a 值变为 0;
- 当输入 abcdexxxxy 时,a 的 4 个字节全部被覆盖,b 的最低两个字节被 ‘y’ 和 ‘\0’ 覆盖,而 ‘y’ 对应的 ascii 码值是 121,这也就解释了为什么 b 值变成了 121。
(2015-1-18 补,今日重新回来看这篇 blog,发现当时写这篇 blog 的时候还是没有很深刻地理解所谓的栈溢出漏洞攻击。上面这种情况不正是栈溢出的攻击手段吗?如果我再输入更多的字符,使字符的长度长到能够覆盖栈中存放返回地址的内存空间,而且使覆盖返回地址内存空间的值是一个精心构造的值,比如是一个指向恶意代码的地址,不就实现攻击吗)。
以上栈的数据的分布情况可以从上面的程序的运行结果推断出来,更直接的办法是查看汇编代码 (gcc -S main.c 生成汇编代码 main.s):
...
.LC0:
.string "test"
...
pushl %ebp ==> 常规操作,保存原来的 ebp
movl %esp, %ebp ==> ebp = esp
pushl %ecx
subl $36, %esp ==> 分配了 36 字节的栈空间,esp = ebp - 4(ecx) - 36
movl $1, -12(%ebp) ==> &a = ebp - 12
movl $2, -8(%ebp) ==> &b = ebp - 8
movl .LC0, %eax
movl %eax, -17(%ebp) ==> &s[0] = ebp - 17
movzbl .LC0+4, %eax ==> 这两步是将 "test" 的值从静态存储区拷贝到栈中
movb %al, -13(%ebp)
leal -17(%ebp), %eax
movl %eax, 12(%esp) ==> 开始为 printf 函数传参,参数 4 地址:esp + 12
movl -8(%ebp), %eax
movl %eax, 8(%esp) ==> 参数 3 地址:esp + 8
movl -12(%ebp), %eax
movl %eax, 4(%esp) ==> 参数 2 址址:esp + 4
movl $.LC1, (%esp) ==> 参数 1 地址:esp
call printf
...
从汇编代码可以看出,程序分配了 36 字节的栈空间,高地址的 13 字节 (a,b,s 共 13 字节) 用于存储自动变量,低地址的 23 字节用于函数传参。而实际传参只用了 16 个字节,两片空间并未连续,中间产生了 7 字节的空隙 (应该是为了对齐吧)。
(2013/04/22补:实际上这一栈帧的空间还应包括 返回地址的 4 字节,pushl %ebp 中的 %ebp 的 4 字节,pushl %ecx 中的 %ecx 的 4 字节,因此总的空间是 36+12=48 字节。此处我一直有一个疑问,就是为什么 GCC 会分配多余的空间。《深入了解计算机系统》第一版的修订版在第三章(第 151 页处)的脚注中也写道:”不清楚为什么 C 编译器会为这个函数在栈中分配这么多的未使用存储”,后来又看第二版的时候,就有答案了,在第二版的第 154 页处增加了一段话,专门解释了这个问题:”为什么 GCC 分配从不使用的空间…GCC 坚持一个 x86 编程指导方针,也就是一个函数使用的所有栈空间必须是 16 字节的整数倍。包括保存 ebp 的 4 字节和返回值的 4 个字节…严格对齐”,恍然大悟。)
我以前知道自动变量是分配在栈上,至于内部的分配细节没有探究过。而这次的探究,可以说是推翻了以前我对栈空间的认识。以前我认为这个栈空间,顾名思议嘛,栈,就跟数据结构里的栈一样,只允许 push 和 pop 两种操作,一切都只能在栈顶操作。而从上面的汇编代码来看,函数内部完全是把这部分空间当作线性数组使用,进行随机存取。
所以,是不是可以这么理解栈空间,宏观上它还是先进后出的栈,但微观上,它是可以进行随机存取的一片顺序存储空间。
另外还有一个疑问是,我明明定义的顺序是 a,b,s,程序实际分配的内存空间顺序 (地址由低到高) 却是 s,a,b 呢? 我只能理解为取决于编译器的自己的策略。我在 Ubuntu 12.10 上使用 GCC 4.6.3 编译的结果是,无论 a,b,s 的定义顺序是什么,最终分配的空间顺序是 a,b 在低地址,s 在高地址。在这种情况下,如果 s 输入时越界,就会使程序马上崩溃,这样容易使问题暴露得更早。
(看了《深入理解计算机系统》,我的理解是,这应该是编译器对于栈溢出的一种保护机制)
Baurine
