先来看这一个小函数,猜猜他的运行结果(VC6环境)?
#include <stdio.h>
void b()
{
int data[10];
printf("helloworld!/r/n");
data[11]-=5;
}
int main()
{
b();
return 0;
}
堆栈溢出,肯定不正常,马上有人叫起来了。
没错, 那么结果是什么呢,为什么会不停打印helloworld呢,我们将用堆栈揭开他的奥秘。
且看main函数汇编代码。
很简单, L12 调用b函数, L13对返回值赋0.
这里有个很关键的东东: call
call包含2部分操作,call的下一条指令地址入栈,跳转,也就是从效果来说,包含push 0040108D 和 jmp 00401005两条操作。 假如,你打开内存窗口,你会看到,堆栈里已经有0040108D 这个值了。
10: int main()
11: {
...........
12: b();
00401088 call @ILT+0(b) (00401005)
13: return 0;
0040108D xor eax,eax
14: }
再来看函数b
当你把 printf("helloworld!/r/n"); 替换为 printf("%08x!/r/n",data[11]);时,你会发现,程序在不停的打印0040108D!, 显而易见,你修改的data[11]其实就是函数b的返回值地址,而data[11] -= 5;更是巧妙的利用 call 00401005 这条指令正好是5个字节的特点,将返回地址正好修改到了 0040108D ,也就是说函数返回时会再次调用函数b。每次b()都会把返回值改为b返回的地址,导致b()被不停的调用。
为什么data[11]正好是函数的返回值呢,让我们来看堆栈和任务有和关系
任务(线程)都有一个堆栈,任务创建时创建,任务撤销时撤销。 任务的创建本质上包含2点。
1 任务资源的分配(任务TCB和任务堆栈),很多嵌入式操作系统把TCB和堆栈是分配在一起的,比如Vxworks操作系统,其任务ID,堆栈基地址,TCB指针其实指向同一块内存。 创建任务时要指定任务大小,分配堆栈空间其实是一个特殊的malloc函数,他从堆栈空间分配,而不是从系统空间分配内存。任务堆栈windows下默认比较大,嵌入式OS则比较小,经常64k左右。 而局部变量就保存在堆栈中,当访问局部变量越界时,就发生了我们常说的"堆栈被踩了",堆栈被踩得话后果严重,轻则导致某次运行结果不对(这种问题很难定位),重则导致程序崩溃,例如把上面程序改为data[11]-=4,则程序直接崩溃。
2 任务的初始化,包含2部分,任务TCB的初始化,并且把TCB和操作系统关联。
TCB中包含任务的很多东西, 比如任务拥有的信号量的链表,文件描述符的链表,CPU寄存器的值(任务切换时用的),任务优先级,堆栈地址,任务名称等等,这些都需要初始化。初始化完成之后,操作系统会把这个任务TCB假如调度队列,如果加入调度队列时任务状态是就绪,那么当他拿到CPU时就可以直接运行了。
堆栈中包含任务的栈帧,也就是说在函数调用链(A call B,B call C,C call D,D call E),那么堆栈中,ABCDE函数分别对应自己的一段栈帧。以E为例 E的栈帧包含A函数的传入参数,函数返回值,局部变量和临时保存的寄存器值。
函数栈帧在主调函数和被掉函数中分配,在函数返回时释放,这就是为什么局部变量地址在函数返回后其值可能失效。
例如 下面代码FuncB分配的函数栈帧在FuncB执行完后又被分配给FuncC,FuncC中很可能会踩到FuncB曾经的局部变量。
FuncA{
FuncB();
FuncC();
}
任务(线程)的栈以及上面函数b的栈为下图。
*debug版本的函数b其实除了data[10],还在局部变量位置分配了一部分内存用来做调试,不过我们不用关系他。
*为什么是data[11],而不是data[10]/data[12]或者其他? x86下编译器函数入口一般会有2条指令。
push ebp
move ebp,esp
其实就是将ebp作为帧指针来用(函数帧即为栈中一个函数所拥有的一段内存)。
而这样就可以在函数中采用ebp-XXX表示局部变量,用ebp+XXX来表示传入参数。 函数中经常会有一些push操作,
采用esp对局部变量和参数寻址远不如用ebp来的省事了,因为esp是经常变化的,而ebp是相对横的的。
