2. 程式人生 > 實用技巧 >深刻理解linux核心呼叫棧、棧幀結構

深刻理解linux核心呼叫棧、棧幀結構

阿新 發佈:2021-01-07

摘自:https://blog.csdn.net/koozxcv/article/details/49998237

我們知道,棧溢位通常是因為遞迴呼叫層次太深導致,那麼為什麼遞迴呼叫層次太深回導致棧溢位呢,解決這個問題

之前我們先看一下與函式呼叫有關的棧的基本概念:

1. 每一個執行緒擁有一個呼叫棧結構(call stack),呼叫棧存放該執行緒的函式呼叫資訊

2. 程式中每一個未完成執行的函式對應一個棧幀(stack frame),或者一個更響亮的名字,過程的活動記錄,棧幀

中儲存函式區域性變數、傳遞給被調函式引數等資訊

3. 棧底對應高地址,棧頂對應低地址,棧由記憶體高地址向低地址生長

對於下面這段程式碼:

1 void f(int a) {
2     printf("%d\n", a);
3 }
4 void g() {
5     int a = 2;
6     f(a);
7 }

當程式執行到進入printf時,對應的呼叫棧(模擬)是這樣的:

可以看到,正常的函式呼叫會使棧幀指標向下增長,而每個程序的呼叫棧大小都有一個限制,當呼叫層次過深導致棧幀

指標越過呼叫棧的下界時,就是導致棧溢位. 因此我們寫遞迴呼叫的程式碼時千萬要注意,儘量保證遞迴呼叫的層次不要

太深!!!再一個就是不要在棧上定義太大的陣列!!!

1. 下界溢位

我權且稱其為下界溢位,是因為這種溢位是說棧幀指標到達了棧地址空間的下界,上面已經分析了這種溢位,下面通過一

段具體的程式碼來看一下:

 1 #include <stdio.h>
 2 #include <string.h>
 3 
 4 void call()
 5 {
 6     int a[1024];
 7     printf("hello call! \n");
 8     call();
 9 }
10 int main(int argc, char *argv[]) {
11     call();
12 }

編譯這段程式碼:

可以通過設定斷點,在gdb中檢視每一個呼叫棧幀指標的變化,這裡給個最終結果

gdb ./a.out
(gdb) r
Program received signal SIGSEGV, Segmentation fault.
(gdb) bt
#0   call () at overflow.c:7
#1   0x08048426 in call () at overflow.c:8
#2   0x08048426 in call () at overflow.c:8
...
#36  0x08048426 in call () at overflow.c:8
#2032 0x08048426 in call () at overflow.c:8

(gdb) info frame 
Stack level 0, frame at 0xbf800520:
 eip = 0x8048415 in call (overflow.c:7); saved eip 0x8048426
 called by frame at 0xbf801540
 source language c.
 Arglist at 0xbf800518, args: 
 Locals at 0xbf800518, Previous frame's sp is 0xbf800520
 Saved registers:
  ebp at 0xbf800518, eip at 0xbf80051c

(gdb) info proc mappings 
process 5560
Mapped address spaces:

    Start Addr   End Addr       Size     Offset objfile
    0x08048000  0x08049000     0x1000        0x0 a.out
    0x08049000  0x0804a000     0x1000        0x0 a.out
    0x0804a000  0x0804b000     0x1000     0x1000 a.out
    ...
    0xb7fff000  0xb8000000     0x1000    0x20000 /lib/i386-linux-gnu/ld-2.15.so
    0xbf801000  0xc0000000   0x7ff000        0x0 [stack]

a. 通過bt可以列印呼叫棧,可以看出共發生了2033次呼叫後棧溢位

b. 通過info proc mappings可以看出程序棧的地址空間為0xbf801000~0xc0000000

c. 通過info frame可以看出當前棧幀的情況,可以看出,最後一次呼叫棧幀指標已經指向0xbf800520,前一幀

指向0xbf801540,剩餘棧空間已經不足容納一個棧幀,導致訪問非法地址空間,發生段錯誤

2. 上界溢位

下界溢位比較常見,而且實現起來很簡單,只要遞迴層次足夠深或者在函式內定義足夠大的非靜態陣列就可以了,那麼

如何實現上界溢位,方法肯定還是需要足夠深的"呼叫",只不過需要每次“呼叫”棧幀指標都向棧底增長,可是正常的函式

呼叫都是向下增長的啊. 怎麼辦呢,我們想一下函式呼叫過程,向棧中壓入引數,返回地址,函式返回時彈出返回地址

方法就隱藏在這裡,我們模擬函式呼叫,通過修改函式返回地址指向自身函式入口地址,那麼每次函式返回時,都會彈

出返回地址,這樣其實我們並沒有呼叫函式,而是通過修改返回地址的方法模擬呼叫過程,因此不存在壓入返回地址,但

是函式返回時會"以為"自己是通過正常的函式呼叫被呼叫的,會主動從棧中彈出返回地址,這樣就繞過了規則,使得每次

"呼叫自身"都會將棧幀指標+4(32位系統). 分析到這,理論上可以實現棧指標向上增長了,光說不練假把式,上程式碼

 1 #include <stdio.h>
 2 #include <string.h>
 3 
 4 #define ADDRESS(a, f) *(int*)a = ((int)f);
 5 char t[] = { 0, 0, 0, 0, 0 };
 6 
 7 void call()
 8 {
 9     char c;
10     char *p = &c;
11     printf("hello call! \n");
12     strcpy(p + 17, t); /*覆蓋返回地址*/
13 }
14 int main() {
15     int a = 2;
16     ADDRESS(t, call); /*將call地址存入t*/
17     call();
18 }

肯定有人問,你是怎麼知道返回地址存放在哪的,那個+17是怎麼得到的,答案很簡單,反彙編

0804843c <call>:
 804843c:    55                       push   %ebp
 804843d:    89 e5                    mov    %esp,%ebp
 804843f:    83 ec 28                 sub    $0x28,%esp
 8048442:    8d 45 f3                 lea    -0xd(%ebp),%eax /*得到c的地址,看以看到c的地址是ebp - 13*/
 8048445:    89 45 f4                 mov    %eax,-0xc(%ebp)
 8048448:    c7 04 24 28 85 04 08     movl   $0x8048528,(%esp)
 804844f:    e8 cc fe ff ff           call   8048320 <puts@plt>
 8048454:    8b 45 f4                 mov    -0xc(%ebp),%eax
 8048457:    83 c0 11                 add    $0x11,%eax
 804845a:    c7 44 24 04 1c a0 04     movl   $0x804a01c,0x4(%esp)
 8048461:    08 
 8048462:    89 04 24                 mov    %eax,(%esp)
 8048465:    e8 a6 fe ff ff           call   8048310 <strcpy@plt>
 804846a:    c9                       leave  
 804846b:    c3                       ret

根據反彙編程式碼,可以得到當前棧幀:

由此分析返回地址等於ebp + 4 = ebp - 13 + 17 = &c + 17

看下執行結果:

Program received signal SIGSEGV, Segmentation fault.
0xb7ea6ea7 in ?? () from /lib/i386-linux-gnu/libc.so.6
(gdb) bt
#0  0xb7ea6ea7 in ?? () from /lib/i386-linux-gnu/libc.so.6
#1  0x0804846a in call () at overflow.c:12
#2  0x0804843c in frame_dummy ()
Cannot access memory at address 0xc0000000

(gdb) info frame 
Stack level 0, frame at 0xbfffffd0:
 eip = 0xb7ea6ea7; saved eip 0x804846a
 called by frame at 0xc0000000
 Arglist at 0xbffffff8, args: 
 Locals at 0xbffffff8, Previous frame's sp is 0xbfffffd0
 Saved registers:
  eip at 0xbfffffcc

(gdb) info proc mappings 
process 6332
Mapped address spaces:

    Start Addr   End Addr       Size     Offset objfile
    0x08048000 0x08049000     0x1000        0x0 a.out
    0x08049000 0x0804a000     0x1000        0x0 a.out
    0x0804a000 0x0804b000     0x1000     0x1000 a.out
  ...
    0xb7fff000 0xb8000000     0x1000    0x20000 /lib/i386-linux-gnu/ld-2.15.so
    0xbffdf000 0xc0000000    0x21000        0x0 [stack]

最終棧幀指標到了0xc0000000,導致上溢,和我們分析的過程是吻合的

實驗環境:

CPU指令集 x86
作業系統 Ubuntu 12.04
核心版本 Linux 3.2.0
gcc版本 gcc-4.7

相關推薦

深刻理解linux核心呼叫結構

摘自:https://blog.csdn.net/koozxcv/article/details/49998237 我們知道,溢位通常是因為遞迴呼叫層次太深導致,那麼為什麼遞迴呼叫層次太深回導致溢位呢,解決這個問題

linux核心休眠喚醒流程分析之掛起:cpu(八)

技術標籤:驅動LinuxAndroidkernel 從核心啟動說起 // init\\main.c asmlinkage __visible void __init start_kernel(void)

【GCC系列】深入理解Linux核心 -- __visible巨集定義

技術標籤:深入理解Linux核心linux核心原始碼__visiblevisibility__attribute__ __visible巨集定義

深入理解linux核心--記憶體3

硬體中的分頁 為了效率,線性地址被分為固定長度的組,成為”頁“,頁內連續的線性地址被對映到連續的實體地址。這樣,核心可以指定一個頁的實體地址和其存取許可權。把線性地址對映到實體地址的資料結構被稱為”頁表

深入理解linux核心--程序地址空間

核心的函式以直接了當的方式獲得動態記憶體:__get_free_pages()或alloc_pages()從分割槽頁框中獲得頁框;

linux核心協議 IPv4之傳送介面: ip_append_data() Ⅰ 【UDP使用】

目錄 1 ip_append_data 函式功能概述 2 skb資料組織策略 2.1 情形1 2.2 情形2 2.3 情形3 1 ip_append_data 函式功能概述

Linux核心網路協議:udp資料包傳送(原始碼解讀)

技術標籤:【Linux核心】 《監視和調整Linux網路協議:接收資料》 《監控和調整Linux網路協議的圖解指南:接收資料》

TCP/IP協議Linux核心中的執行時序分析

TCP/IP協議Linux核心中的執行時序分析 1.網路分層模型 OSI模型,即開放式通訊系統互聯參考模型(Open System Interconnection Reference Model),是國際標準化組織(ISO)提出的一個試圖使各種計算機在世界範圍

linux核心中列印回溯資訊 - dump_stack()函式分析

參考文章: https://blog.csdn.net/jasonchen_gbd/article/details/45585133 簡介 當核心出現比較嚴重的錯誤時,例如發生Oops錯誤或者核心認為系統執行狀態異常,核心就會打印出當前程序的回溯資訊,其中包含當前

golang核心原理-協程

什麼是協程 每個協程都需要有自己的空間,來存放變數,函式,暫存器等資訊。所以系統需要給協程分配足夠的空間。

使用python實現陣列連結串列佇列的方法

引言 什麼是資料結構? 資料結構是指相互之間存在著一種或多種關係的資料元素的集合和該集合中資料元素之間的關係組成。

python的基本定義與使用方法示例【初始化賦值等】

本文例項講述了python的基本定義與使用方法。分享給大家供大家參考,具體如下:

Java定義結構,並實現入操作完整示例

本文例項講述了Java定義結構,並實現入操作。分享給大家供大家參考,具體如下:

資料區bss程式碼段

一個程式的執行是需要記憶體的,那麼我們平常寫的程式的記憶體都是怎麼分配的呢

32. 最長有效括號(動態規劃

給定一個只包含 \'(\'和 \')\'的字串,找出最長的包含有效括號的子串的長度。

iOS記憶體的基礎探究(靜態儲存區堆)

程式碼區存放於低地址,區存放於高地址。區與區之間並不是連續的。 app啟動後,程式碼區,文字常量區,全域性儲存區大小固定,指向這些區的指標不會產生崩潰性的錯誤。而堆區和區是時時刻刻變化的(堆的建立銷燬

jvm之

1.Java Virtual Machine ​人群當中,一位叫java的小夥子正向周圍一眾人群細數著自己取得的榮耀與輝煌。就在此時,c老頭和c++老頭緩步走來,看著被眾人圍住的java,c老頭感嘆地對著身旁的c++說道:“原以為你就可以挑

佇列和堆

1實現佇列 class MyQueue { stack<int> stack1,stack2; public: /** Initialize your data structure here. */

inkedList (佇列實現還沒看(打算學會使用方法即可)另外兩篇參考文章還沒看)

LinkedList是一個以雙向連結串列實現的List,它除了作為List使用,還可以作為佇列或者堆疊使用。

【0004】資料結構中的堆的實踐

  資料結構中的——先進後出,先進先出   資料結構中的堆——堆的本質是一個二叉樹,包括二分法查詢,朗格朗日差值查詢,堆排序查詢極值