缓冲区溢出解密一

好了，我们说将被放到EIP中的值是CPU自身计算出来的。如果我们JMP到一个函数又是什么样子的呢？函数中指令的地址将在内存中的其它地方。它们执行后，CPU是如何知道到哪里继续调用程序执行呢？为了这个目的，在我们JMP到函数前，我们在一个临时寄存器中保存下一个指令地址，比如说在EDX中；并且在从函数返回之前，我们又把EDX中的地址写回EIP。如果我们使用JMP来跳转到函数地址，那将可能实际上是一个非常烦人的工作。
然而，ix86处理器家族给我们提供了两个指令：CALL和RET，使我们的生活简单!CALL指令把”函数返回后下个要被执行的指令”写入堆栈。它PUSH地址到堆栈,并且把函数地址写入EIP。因而，一个函数调用就产生了。另一方面，RET指令从堆栈中POP出”返回地址”，并且把地址写入EIP。因而，我们将从函数安全地返回，而且继续了程序的下一步执行。
让我们看看下面的代码片段：
x = 0;
function(1, 2, 3);
x = 1;
在几个汇编指令运行(x=0)之后，我们需要到function()所在的内存位置。就如我前面所说的，为了实现这一目标，首先我们拷贝返回地址的地址(在这个例子里是x=1的指令地址。)到一些临时空间(可能是一个寄存器)用JMP跳转到函数的地址空间，而且，在函数结束时我们恢复我们将要拷贝到EIP的返回地址。
感谢上帝，所有这些麻烦的操作都由CPU自身通过CALL和RET为我们做了，而你能从上面的篇章中得到相关细节。 一般地，程序堆栈区域能够象这样表示：
|_parameter_I____| ESP 8
|_parameter II___| ESP 4
|_return address_| ESP
Figure X : Stack
ESP,EBP
如我们已经说过的，堆栈同样被用来存储动态变量。动态地，程序请求新的空间时，CPU PUSH一些数据而我们的程序释放一些数据时它就POP一些数据。为了给内存编址，我们使用”相对寻址”。也就是说，我们在我们的堆栈中给数据编址，与一些标准相关。而这个标准就是ESP,它是Extended Stack Pointer首字母缩写。这个寄存器指向堆栈的顶端。考虑这个：
void f()
{
int a;
}
可以看出，在f()函数中，我们为一个名为a的整型变量分配空间。整型变量a的空间将在堆栈中分配。而计算机将引用它的地址作为ESP- 的一些字节。因此堆栈指针对程序执行是非常重要的。若我们调用一个函数呢？这个调用的函数有一个堆栈，它有一些局部变量，意味着它将要利用堆栈指针寄存器。同样地，内部被调用的函数将有局部变量而且它也将需要堆栈指针。
为了克服这个，我们保存老的堆栈指针。就象我们对返回地址所做的那样，我们PUSH老的ESP到堆栈，并且利用另外一个名为EBP的寄存器来引用被调用函数的局部变量。

最新评论