为什么ebx保存在一个简单函数的栈帧中,调用get?

我正在尝试在c中为学生写一个缓冲区溢出练习。

通常情况下,堆栈帧由函数参数,返回地址,基址指针和局部变量组成。 但是我发现,有时候附加寄存器与基指针一起保存。 我从课上记得,保存的Calee寄存器必须在使用之前保存。 但是有些情况下编译C代码会产生汇编,这会毫无目的地显式地保存和使用寄存器。 请向我解释这种行为。

假定主要功能

int main (int argc, char** argv) {
    func();

    return 0;
}

和功能

void func() {
    char buf[5];
    strcpy(buf,"AAAA");
    strcpy(buf,"BBBB");
}

如果我用gdb调试生成的可执行文件

break func
run
info frame

一切都很好,堆栈框架只包含ebp和eip。

如果我使用

void func() {
    char buf[5];
    gets(buf);
}

我明白了

 Saved registers:
  ebx at 0xffffd1cc, ebp at 0xffffd1d0, eip at 0xffffd1d4

所以ebx另外保存在堆栈中? 为什么? 如果我跑步

disas func

我明白了

Dump of assembler code for function func:
   0x56555730 <+0>: push   %ebp
   0x56555731 <+1>: mov    %esp,%ebp
   0x56555733 <+3>: push   %ebx
   0x56555734 <+4>: sub    $0x8,%esp
   0x56555737 <+7>: call   0x5655576e <__x86.get_pc_thunk.ax>
   0x5655573c <+12>:    add    $0x18c4,%eax
=> 0x56555741 <+17>:    lea    -0x9(%ebp),%edx
   0x56555744 <+20>:    push   %edx
   0x56555745 <+21>:    mov    %eax,%ebx
   0x56555747 <+23>:    call   0x56555590 <gets@plt>
   0x5655574c <+28>:    add    $0x4,%esp
   0x5655574f <+31>:    nop
   0x56555750 <+32>:    mov    -0x4(%ebp),%ebx
   0x56555753 <+35>:    leave  
   0x56555754 <+36>:    ret    
End of assembler dump.

所以ebx被保存。 好。 但是它用于什么? 在调用gets()之前,eax在ebx中移动。 但之后不会使用。 旧的ebx在离开和返回之前刚刚从堆栈中恢复。 这似乎没用。 顺便说一句。 什么是整个call get_pc_thunk东西?

可比较的行为,如果我使用printf而不是gets:

void func() {
    char buf[5];
    strcpy(buf, "AAAA");
    printf("%s",buf);
}

gdb输出:

(gdb) info frame
Stack level 0, frame at 0xffffd1d8:
 eip = 0x56555741 in func (/home/mischa/stuff/test/test.c:35); saved eip = 0x56555779
 called by frame at 0xffffd1e0
 source language c.
 Arglist at 0xffffd1d0, args: 
 Locals at 0xffffd1d0, Previous frame's sp is 0xffffd1d8
 Saved registers:
  ebx at 0xffffd1cc, ebp at 0xffffd1d0, eip at 0xffffd1d4
(gdb) disas func
Dump of assembler code for function func:
   0x56555730 <+0>: push   %ebp
   0x56555731 <+1>: mov    %esp,%ebp
   0x56555733 <+3>: push   %ebx
   0x56555734 <+4>: sub    $0x8,%esp
   0x56555737 <+7>: call   0x56555780 <__x86.get_pc_thunk.ax>
   0x5655573c <+12>:    add    $0x18c4,%eax
=> 0x56555741 <+17>:    movl   $0x41414141,-0x9(%ebp)
   0x56555748 <+24>:    movb   $0x0,-0x5(%ebp)
   0x5655574c <+28>:    lea    -0x9(%ebp),%edx
   0x5655574f <+31>:    push   %edx
   0x56555750 <+32>:    lea    -0x17f0(%eax),%edx
   0x56555756 <+38>:    push   %edx
   0x56555757 <+39>:    mov    %eax,%ebx
   0x56555759 <+41>:    call   0x565555a0 <printf@plt>
   0x5655575e <+46>:    add    $0x8,%esp
   0x56555761 <+49>:    nop
   0x56555762 <+50>:    mov    -0x4(%ebp),%ebx
   0x56555765 <+53>:    leave  
   0x56555766 <+54>:    ret    
End of assembler dump.

有人可以向我解释这个吗?

我使用cmake编译以下CMakeLists.txt文件:

cmake_minimum_required (VERSION 2.8)

# projectname is the same as the main-executable
project(test)

# compile with 32 bit
add_definitions('-m32')

# Disable compiler optimization
add_definitions('-O0')

# include debugging information
add_definitions('-g')

# Align items on the stack to 4 bytes. This makes stuff easier.
# See https://stackoverflow.com/questions/1061818/stack-allocation-padding-and-alignment
add_definitions('-mpreferred-stack-boundary=2')

# disable compiler buffer overflow protection
add_definitions('-z execstack -z norelro -fno-stack-protector')

# executable source code
add_executable(test test.c)

cmake似乎使用gcc。


您的编译器工具链已配置(可能由您的发行版)默认生成位置无关的可执行文件(PIE)。 在32位x86上,为了使与位置无关的代码能够调用可能位于与调用方不同的库中的函数,调用模块的GOT地址必须在调用时加载到ebx中; 这是一个ABI要求。 由于ebx是x86 ABI中的呼叫保存寄存器,因此调用者必须在返回给自己的调用者之前保存并稍后恢复它。

这篇关于这个话题的文章可能会提供信息:

https://ewontfix.com/18/

在最新版本的gcc上,新的-fno-plt选项可以通过内联GOT的负载而不是使用依赖于ebx的PLT来避免这个问题。

链接地址: http://www.djcxy.com/p/84353.html

上一篇: Why is ebx saved in the stack frame of a simple function, calling gets?

下一篇: Basic usage stack