函數棧&EIP、EBP、ESP寄存器的作用

函數棧&EIP、EBP、ESP寄存器的作用

https://www.k2zone.cn/?p=1911

• 0x01 棧的結構
• 0x02 EIP、EBP、ESP的作用
• 0x03 函數調用前後變化
• 0x04 結束語

目錄

這第一篇文章咱們就來重新認識一下EIP、EBP、ESP這三個寄存器，寄存器又好幾個，但是爲什麼我們要單獨看這幾個呢？因爲在很多情況下我們在調試的時候最注意的就是這三個寄存器，其實這幾個寄存器都是爲“棧”而生，下面將結合圖片分別談談這幾個寄存器。

0x01 棧的結構

“棧"想必大家都很熟悉了，我們再重複一遍他的幾個重要性質和概念。

1、先進後出。
2、在內存中表現爲從高地址往低地址增長。
3、棧頂：棧的最上方（低地址區）。
4、棧低：棧的最下方（高地址區）。

假設我們有一個函數：

void fun(int a) { int b; char s; gets(&s); if(a == 0x1234){ puts(&s); } }

1 2 3 4 5 6 7 8

void fun(int a) { int b; char s; gets(&s); if(a == 0x1234){ puts(&s); } }

下面是這個棧的結構圖：

從棧的結構中我們可以看到，這個棧中周多個臨時變量，數字的代表其入站順序。其中ESP指向了var3，在棧的頂部，EBP指向了棧的底部。在EBP的下面還有一個EIP,這裏其實可以理解爲我們的函數返回地址。當return語句執行後，下一條指令的執行地址。那麼var1是什麼呢？其實這個是函數的參數，我們對應代碼說明一下var1-var3。

var1：參數a
var2：變量b
var3：變量s

當函數執行之前，函數的參數（a）會首先被push進棧裏面，當進入函數之前，當前EIP的值也會被push進棧，進入函數後再將EBP壓棧，所以形成了上面的結構，下面是該程序的main函數和fun函數（去掉了變量b）的彙編代碼。

Dump of assembler code for function fun: 0x800011b9 <+0>: push ebp ;ebp壓棧 => 0x800011ba <+1>: mov ebp,esp ;將當前棧頂當作函數的棧低 0x800011bc <+3>: push ebx 0x800011bd <+4>: sub esp,0x14 0x800011c0 <+7>: call 0x800010c0 <__x86.get_pc_thunk.bx> 0x800011c5 <+12>: add ebx,0x2e3b 0x800011cb <+18>: sub esp,0xc 0x800011ce <+21>: lea eax,[ebp-0x9] 0x800011d1 <+24>: push eax 0x800011d2 <+25>: call 0x80001040 <gets@plt> 0x800011d7 <+30>: add esp,0x10 0x800011da <+33>: cmp DWORD PTR [ebp+0x8],0x1234 0x800011e1 <+40>: jne 0x800011f2 <fun+57> 0x800011e3 <+42>: sub esp,0xc 0x800011e6 <+45>: lea eax,[ebp-0x9] 0x800011e9 <+48>: push eax 0x800011ea <+49>: call 0x80001050 <puts@plt> 0x800011ef <+54>: add esp,0x10 0x800011f2 <+57>: nop 0x800011f3 <+58>: mov ebx,DWORD PTR [ebp-0x4] 0x800011f6 <+61>: leave 0x800011f7 <+62>: ret ;跳轉到EIP地址 End of assembler dump.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Dump of assembler code for function fun:    0x800011b9 <+0>: push   ebp ;ebp壓棧 => 0x800011ba <+1>: mov    ebp,esp ;將當前棧頂當作函數的棧低    0x800011bc <+3>: push   ebx    0x800011bd <+4>: sub    esp,0x14    0x800011c0 <+7>: call   0x800010c0 <__x86.get_pc_thunk.bx>    0x800011c5 <+12>: add    ebx,0x2e3b    0x800011cb <+18>: sub    esp,0xc    0x800011ce <+21>: lea    eax,[ebp-0x9]    0x800011d1 <+24>: push   eax    0x800011d2 <+25>: call   0x80001040 <gets@plt>    0x800011d7 <+30>: add    esp,0x10    0x800011da <+33>: cmp    DWORD PTR [ebp+0x8],0x1234    0x800011e1 <+40>: jne    0x800011f2 <fun+57>    0x800011e3 <+42>: sub    esp,0xc    0x800011e6 <+45>: lea    eax,[ebp-0x9]    0x800011e9 <+48>: push   eax    0x800011ea <+49>: call   0x80001050 <puts@plt>    0x800011ef <+54>: add    esp,0x10    0x800011f2 <+57>: nop    0x800011f3 <+58>: mov    ebx,DWORD PTR [ebp-0x4]    0x800011f6 <+61>: leave      0x800011f7 <+62>: ret ;跳轉到EIP地址     End of assembler dump.

 

Dump of assembler code for function main: 0x800011f8 <+0>: lea ecx,[esp+0x4] 0x800011fc <+4>: and esp,0xfffffff0 0x800011ff <+7>: push DWORD PTR [ecx-0x4] 0x80001202 <+10>: push ebp 0x80001203 <+11>: mov ebp,esp 0x80001205 <+13>: push ecx 0x80001206 <+14>: sub esp,0x4 0x80001209 <+17>: call 0x80001230 <__x86.get_pc_thunk.ax> 0x8000120e <+22>: add eax,0x2df2 0x80001213 <+27>: sub esp,0xc 0x80001216 <+30>: push 0x1234 ;參數壓棧 0x8000121b <+35>: call 0x800011b9 <fun> ;將EIP壓棧，並跳轉到fun函數 0x80001220 <+40>: add esp,0x10 0x80001223 <+43>: mov eax,0x0 0x80001228 <+48>: mov ecx,DWORD PTR [ebp-0x4] 0x8000122b <+51>: leave 0x8000122c <+52>: lea esp,[ecx-0x4] 0x8000122f <+55>: ret

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

Dump of assembler code for function main:    0x800011f8 <+0>: lea    ecx,[esp+0x4]    0x800011fc <+4>: and    esp,0xfffffff0    0x800011ff <+7>: push   DWORD PTR [ecx-0x4]    0x80001202 <+10>: push   ebp    0x80001203 <+11>: mov    ebp,esp    0x80001205 <+13>: push   ecx    0x80001206 <+14>: sub    esp,0x4    0x80001209 <+17>: call   0x80001230 <__x86.get_pc_thunk.ax>    0x8000120e <+22>: add    eax,0x2df2    0x80001213 <+27>: sub    esp,0xc    0x80001216 <+30>: push   0x1234 ;參數壓棧    0x8000121b <+35>: call   0x800011b9 <fun> ;將EIP壓棧，並跳轉到fun函數    0x80001220 <+40>: add    esp,0x10    0x80001223 <+43>: mov    eax,0x0    0x80001228 <+48>: mov    ecx,DWORD PTR [ebp-0x4]    0x8000122b <+51>: leave      0x8000122c <+52>: lea    esp,[ecx-0x4]    0x8000122f <+55>: ret

其實只要搞清楚上面的EIP、ESP、EBP的變化即可。

0x02 EIP、EBP、ESP的作用

EIP存儲着下一條指令的地址，每執行一條指令，該寄存器變化一次。

EBP存儲着當前函數棧底的地址，棧低通常作爲基址，我們可以通過棧底地址和偏移相加減來獲取變量地址（很重要）。

ESP就是前面說的，始終指向棧頂，只要ESP指向變了，那麼當前棧頂就變了。

0x03 函數調用前後變化

函數調用的棧結構圖其實是下面的這種情況：

再main函數沒有調用完之前其部分變量仍然是存在棧中的。函數調用前後基本EIP、EBP、ESP基本變化流程如下：

1、調用函數中push ebp,將main函數的ebp壓棧，然後mov ebp, esp將當前函數的esp賦給ebp，得到當前函數的棧底地址。

2、調用函數結束之前，執行leave指令，其實該指令等於下面兩條指令：

mov esp, ebp pop ebp

1 2	mov esp, ebp pop ebp

此時fun相關數據全部被出棧，ebp將得重新到main函數的棧底地址，注意在執行ret指令時，將獲取站內EIP數據，然後棧內的EIP也將出棧。程序跳轉到函數下方。esp回到函數棧頂部，函數調用結束。

3、繼續執行main函數內指令。

0x04 結束語

上面時函數的調用過程淺析，對學習棧溢出非常之重要必看必會系列。