Wpis z mikrobloga

Skopiuj link

konto usunięte 04.01.2022, 09:37:20

#programownie #cpp
Mam pytanie. Chciałem sprawdzić, w którym miejscu stosu funkcja func() otrzyma swoją ramkę. Nie znam adresu pod, który funkcja func() zostanie wrzucona na stos, dlatego stworzyłem zmienną a = 0xabababab, wyświetliłem jej adres, i udałem się w tamto miejsce na stosie. Teraz zakładam, że gdzieś w pobliżu na stosie powinien znaleźć się pointer na funkcję func(). Dlatego wyprintowałem też adres funkcji func(), którego na stosie nigdzie nie widzę. Dalej też go nie ma, bo stos jest pusty. Tak wiem, że mogą tą funkcję znaleźć bez problemu w IDA, ale chcę to zrobić krok po kroku... Nie widzę też na stosie wartości zwróconej przez funkcję func(). Nie krzyczcie za głupie pytania, nie jestem programistą.

T.....n - #programownie #cpp
Mam pytanie. Chciałem sprawdzić, w którym miejscu stosu... — **źródło:** comment_1641288833GPkhChDk52v6DYYGDyN9JU.jpg
Pobierz

MamCieNaHita

04.01.2022, 09:41:35

@TheMoonTheMoon: adres funkcji to miejsce w kodzie, które jest niemutowalne. w momencie gdy jesteś w ciele func(), to rejestr EBP powinien wskazywać na "adres ramki". ale w zalezności od tego gdzie uruchomisz tę funkcję(w jakim stanie będzie stos), to ten EBP będzie mieć różne wartości

MamCieNaHita

04.01.2022, 09:45:00

Nie widzę też na stosie wartości zwróconej przez funkcję func()

@TheMoonTheMoon: druga rzecz, to wartość funkcji może być też zwrócona przez rejestr - tutaj nie rozróżniam tych konwencji z __stdcall, więc piszę MOŻE

Passer93

04.01.2022, 09:50:04 via Zakop

@TheMoonTheMoon: Wywołaj kolejna funkcje z wnętrza f to wtedy jej adres zostanie odłożony na stosie by do niej wrócić po wywolaniu

T.....n

konto usunięte 04.01.2022, 09:51:05

@MamCieNaHita: Okej, ale skąd program wie, w które miejsce pamięci w sekcji .text ma skoczyć do funkcji? Bo zakładam, że kod funkcji znajduje się w .text. Musi przecież gdzieś na stosie leżeć pointer na tą funkcję.

Passer93

04.01.2022, 09:52:23 via Zakop

@TheMoonTheMoon: Jeśli to jest ta sama translation unit to kompilator to wie i po prostu wkleja adres funkcji, jeśli inna translation unit to kod jest relocable i robi to linker przy linkowaniu

T.....n

konto usunięte 04.01.2022, 09:57:49

@Passer93: nie zadziałała ta opcja z wywołaniem z wnętrza drugiej funkcji. Na pewno odłoży adres pierwszej funkcji, a nie adres ramki (albo przesunięcie względem nowej)?

rethil

04.01.2022, 10:02:42

@TheMoonTheMoon:

Nie widzę też na stosie wartości zwróconej przez funkcję func().

Wygenerowany kod masz tutaj. Wartosc z funkcji wraca w rejestrze *AX.

Bo zakładam, że kod funkcji znajduje się w .text. Musi przecież gdzieś na stosie leżeć pointer

Passer93

04.01.2022, 10:03:47 via Zakop

@TheMoonTheMoon: odłoży adres pod który ma wrócić a więc jednej instrukcji po wywoalniu ten funcjkji

F.....n

konto usunięte 04.01.2022, 10:03:51

@TheMoonTheMoon: na pewno na stos kiedykolwiek odkładany jest adres funkcji? co najwyżej adres powrotny

MamCieNaHita

04.01.2022, 10:03:56

@TheMoonTheMoon: w skrócie:
jak mamy func(); w kodzie, to w asmie to wygląda to mniej więcej tak:

push EBP;
push ESP;
push

T.....n

konto usunięte 04.01.2022, 10:04:35

@Feargan: ja nie wiem, ja się nie znam na programistyce komputerowej, pytam programerów

Passer93

04.01.2022, 10:05:52 via Zakop

@MamCieNaHita: Tylko "call" odkłada też adres pod który wrócić, a to często nie jest klarowne xD

MamCieNaHita

04.01.2022, 10:06:51

@Passer93: dlatego napisałem mniej więcej :P

F.....n

konto usunięte 04.01.2022, 10:08:41

@TheMoonTheMoon: czyli szukasz ramki stosu, bo już nie rozumiem?

T.....n

konto usunięte 04.01.2022, 10:10:15

@Feargan: chciałbym wiedzieć, gdzie znajdę miejsce, które bezpośrednio będzie prowadzić do kodu funkcji, ale już rozumiem, że na stosie tego nie znajdę, tylko siedzi to w rejestrach

Passer93

04.01.2022, 10:24:29 via Zakop

@TheMoonTheMoon: ogarnij sobie 'nm' na linuxie, wtedy jasno widzisz adresy symboli w tym funcjkji

F.....n

konto usunięte 04.01.2022, 10:24:31

@TheMoonTheMoon: adres bieżącej instrukcji jest w Program Counter/Instruction Pointer. Zakładając, że pracujesz z x86, nie da się tego rejestru odczytać bezpośrednio

T.....n

konto usunięte 04.01.2022, 10:26:41

@Feargan: ale głupie

F.....n

konto usunięte 04.01.2022, 10:29:46

@TheMoonTheMoon: jest tam też sposób, który @Passer93 sugerował, czyli zawołać jakąś dummy funkcję, a potem ściągnąć ze stosu adres powrotny dla niej. No i pewnie względem tego trzeba będzie przeliczyć adres, żeby dostać się do pierwszej interesującej nas instrukcji. W sumie to nie będzie trywialne, zwłaszcza jeżeli niejawnie przed właściwym kodem część rejestrów będzie zabezpieczana na stosie pushami.

Passer93

04.01.2022, 10:37:46 via Zakop

@TheMoonTheMoon: To nie jest głupie tylko zabierasz się od tego z d--y strony próbując robić mem dumpy xD
Wpisz 'nm -A' i tyle ¯\(ツ)/¯

Aktywne Wpisy

DwaJedenTrzy

DwaJedenTrzy +63

5 godz. i 55 min temu

Jak tam pompy ciepła w domach pozbawionych prądu? ( ͡° ͜ʖ ͡°) Oczywiście zwykłych ludzi, bo o polityków to się nie martwię - ich stać na awaryjne generatory przepalające diesla...
Zima nie odpuszcza na Pomorzu ,liczba domów bez energii elektrycznej wzrosła z 20 do 50 tyś. A tak naprawdę to jest c--j - Niech dopierdzieli chociaż -15 przez miesiąc to tym eko szajbusom pompy wyjdą bokiem jak dostaną