windows进程中的内存结构

接触过编程的人都知道,高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢?程序又是如何使用这些变量的呢?下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明,默认都使用VC编译的release版。
首先,来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local),静态变量(Static)、寄存器变量(Regeister)。每种变量都有不同的分配方式。先来看下面这段代码:
#include

  1<stdio.h>   
  2int g1=0, g2=0, g3=0;   
  3int main()   
  4{   
  5static int s1=0, s2=0, s3=0;   
  6int v1=0, v2=0, v3=0;   
  7//打印出各个变量的内存地址   
  8printf("0x%08x\n",&amp;v1); //打印各本地变量的内存地址   
  9printf("0x%08x\n",&amp;v2);   
 10printf("0x%08x\n\n",&amp;v3);   
 11printf("0x%08x\n",&amp;g1); //打印各全局变量的内存地址   
 12printf("0x%08x\n",&amp;g2);   
 13printf("0x%08x\n\n",&amp;g3);   
 14printf("0x%08x\n",&amp;s1); //打印各静态变量的内存地址   
 15printf("0x%08x\n",&amp;s2);   
 16printf("0x%08x\n\n",&amp;s3);   
 17return 0;   
 18}   
 19编译后的执行结果是:   
 200x0012ff78   
 210x0012ff7c   
 220x0012ff80   
 230x004068d0   
 240x004068d4   
 250x004068d8   
 260x004068dc   
 270x004068e0   
 280x004068e4   
 29输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量,g1,g2,g3是全局变量,s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的,但是本地变量和全局变量分配的内存地址差了十万八千里,而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言,可以在逻辑上分成3个部份:代码区,静态数据区和动态数据区。动态数据区一般就是“堆栈”。“栈(stack)”和“堆(heap)”是两种不同的动态数据区,栈是一种线性结构,堆是一种链式结构。进程的每个线程都有私有的“栈”,所以每个线程虽然代码一样,但本地变量的数据都是互不干扰。一个堆栈可以通过“基地址”和“栈顶”地址来描述。全局变量和静态变量分配在静态数据区,本地变量分配在动态数据区,即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。   
 30  
 31├———————┤低端内存区域   
 32│ …… │   
 33├———————┤   
 34│ 动态数据区 │   
 35├———————┤   
 36│ …… │   
 37├———————┤   
 38│ 代码区 │   
 39├———————┤   
 40│ 静态数据区 │   
 41├———————┤   
 42│ …… │   
 43├———————┤高端内存区域   
 44  
 45堆栈是一个先进后出的数据结构,栈顶地址总是小于等于栈的基地址。我们可以先了解一下函数调用的过程,以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定,这些因素有参数的压入规则和堆栈的平衡。windows API的调用规则和ANSI C的函数调用规则是不一样的,前者由被调函数调整堆栈,后者由调用者调整堆栈。两者通过“__stdcall”和“__cdecl”前缀区分。先看下面这段代码:   
 46#include <stdio.h>   
 47void __stdcall func(int param1,int param2,int param3)   
 48{   
 49int var1=param1;   
 50int var2=param2;   
 51int var3=param3;   
 52printf("0x%08x\n",¶m1); //打印出各个变量的内存地址   
 53printf("0x%08x\n",¶m2);   
 54printf("0x%08x\n\n",¶m3);   
 55printf("0x%08x\n",&amp;var1);   
 56printf("0x%08x\n",&amp;var2);   
 57printf("0x%08x\n\n",&amp;var3);   
 58return;   
 59}   
 60int main()   
 61{   
 62func(1,2,3);   
 63return 0;   
 64}   
 65编译后的执行结果是:   
 660x0012ff78   
 670x0012ff7c   
 680x0012ff80   
 690x0012ff68   
 700x0012ff6c   
 710x0012ff70   
 72  
 73├———————┤&lt;—函数执行时的栈顶(ESP)、低端内存区域   
 74│ …… │   
 75├———————┤   
 76│ var 1 │   
 77├———————┤   
 78│ var 2 │   
 79├———————┤   
 80│ var 3 │   
 81├———————┤   
 82│ RET │   
 83├———————┤&lt;—“__cdecl”函数返回后的栈顶(ESP)   
 84│ parameter 1 │   
 85├———————┤   
 86│ parameter 2 │   
 87├———————┤   
 88│ parameter 3 │   
 89├———————┤&lt;—“__stdcall”函数返回后的栈顶(ESP)   
 90│ …… │   
 91├———————┤&lt;—栈底(基地址 EBP)、高端内存区域   
 92  
 93上图就是函数调用过程中堆栈的样子了。首先,三个参数以从又到左的次序压入堆栈,先压“param3”,再压“param2”,最后压入“param1”;然后压入函数的返回地址(RET),接着跳转到函数地址接着执行(这里要补充一点,介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后,继续压入当前EBP,然后用当前ESP代替EBP。然而,有一篇介绍windows下函数调用的文章中说,在windows下的函数调用也有这一步骤,但根据我的实际调试,并未发现这一步,这还可以从param3和var1之间只有4字节的间隙这点看出来);第三步,将栈顶(ESP)减去一个数,为本地变量分配内存空间,上例中是减去12字节(ESP=ESP-3*4,每个int变量占用4个字节);接着就初始化本地变量的内存空间。由于“__stdcall”调用由被调函数调整堆栈,所以在函数返回前要恢复堆栈,先回收本地变量占用的内存(ESP=ESP+3*4),然后取出返回地址,填入EIP寄存器,回收先前压入参数占用的内存(ESP=ESP+3*4),继续执行调用者的代码。参见下列汇编代码:   
 94;--------------func 函数的汇编代码-------------------   
 95:00401000 83EC0C sub esp, 0000000C //创建本地变量的内存空间   
 96:00401003 8B442410 mov eax, dword ptr [esp+10]   
 97:00401007 8B4C2414 mov ecx, dword ptr [esp+14]   
 98:0040100B 8B542418 mov edx, dword ptr [esp+18]   
 99:0040100F 89442400 mov dword ptr [esp], eax   
100:00401013 8D442410 lea eax, dword ptr [esp+10]   
101:00401017 894C2404 mov dword ptr [esp+04], ecx   
102……………………(省略若干代码)   
103:00401075 83C43C add esp, 0000003C ;恢复堆栈,回收本地变量的内存空间   
104:00401078 C3 ret 000C ;函数返回,恢复参数占用的内存空间   
105;如果是“__cdecl”的话,这里是“ret”,堆栈将由调用者恢复   
106;-------------------函数结束-------------------------   
107  
108;--------------主程序调用func函数的代码--------------   
109:00401080 6A03 push 00000003 //压入参数param3   
110:00401082 6A02 push 00000002 //压入参数param2   
111:00401084 6A01 push 00000001 //压入参数param1   
112:00401086 E875FFFFFF call 00401000 //调用func函数   
113;如果是“__cdecl”的话,将在这里恢复堆栈,“add esp, 0000000C”   
114聪明的读者看到这里,差不多就明白缓冲溢出的原理了。先来看下面的代码:   
115#include <stdio.h>   
116#include <string.h>   
117void __stdcall func()   
118{   
119char lpBuff[8]="\0";   
120strcat(lpBuff,"AAAAAAAAAAA");   
121return;   
122}   
123int main()   
124{   
125func();   
126return 0;   
127}   
128编译后执行一下回怎么样?哈,“"0x00414141"指令引用的"0x00000000"内存。该内存不能为"read"。”,“非法操作”喽!"41"就是"A"的16进制的ASCII码了,那明显就是strcat这句出的问题了。"lpBuff"的大小只有8字节,算进结尾的’\0’,那strcat最多只能写入7个"A",但程序实际写入了11个"A"外加1个’\0’。再来看看上面那幅图,多出来的4个字节正好覆盖了RET的所在的内存空间,导致函数返回到一个错误的内存地址,执行了错误的指令。如果能精心构造这个字符串,使它分成三部分,前一部份仅仅是填充的无意义数据以达到溢出的目的,接着是一个覆盖RET的数据,紧接着是一段shellcode,那只要着个RET地址能指向这段shellcode的第一个指令,那函数返回时就能执行shellcode了。但是软件的不同版本和不同的运行环境都可能影响这段shellcode在内存中的位置,那么要构造这个RET是十分困难的。一般都在RET和shellcode之间填充大量的NOP指令,使得exploit有更强的通用性。   
129  
130├———————┤&lt;—低端内存区域   
131│ …… │   
132├———————┤&lt;—由exploit填入数据的开始   
133│ │   
134│ buffer │&lt;—填入无用的数据   
135│ │   
136├———————┤   
137│ RET │&lt;—指向shellcode,或NOP指令的范围   
138├———————┤   
139│ NOP │   
140│ …… │&lt;—填入的NOP指令,是RET可指向的范围   
141│ NOP │   
142├———————┤   
143│ │   
144│ shellcode │   
145│ │   
146├———————┤&lt;—由exploit填入数据的结束   
147│ …… │   
148├———————┤&lt;—高端内存区域 
149
150本新闻共  2  页,当前在第  1  页  1  2</string.h></stdio.h></stdio.h></stdio.h>
Published At
Categories with 服务器类
Tagged with
comments powered by Disqus