c语言的堆栈
很多人把堆栈放在一起来谈,但是实际两者当然不是同一个事物。而且要将清楚这个问题还是很有难度:
堆栈是就是一段连续分配的内存空间,堆栈中的变量是一个先进后出的队列,他的生长方向与内存的生长方向正好相反。
在一次函数调用中,堆栈中将被依次压入:参数,返回地址,EBP(EBP寄存器中保存当前线程的栈底指针)。如果函数有局部变量,
接下来,就在堆栈中开辟相应的空间以构造变量。函数执行结束,这些局部变量的内容将被
丢失。但是不被清除。在函数返回的时候,弹出EBP,恢复堆栈到函数调用的地址,弹出返回
地址到EIP(EIP寄存器存放下一个CPU指令存放的内存地址)以继续执行程序。
在C语言程序中,参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候,是:
先压c,再压b,最后a.在取参数的时候,由于栈的先入后出,先取栈顶的a,再取b,最后取c。
堆栈溢出就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据
越界。结果覆盖了老的堆栈数据。
比如有下面一段程序:
程序一:
#include <stdio.h>
int main ( )
{
char name[8];
printf("Please type your name: ");
gets(name);
printf("Hello, %s!", name);
return 0;
}
编译并且执行,我们输入ipxodi,就会输出Hello,ipxodi!。程序运行中,堆栈是怎么操作的呢?
在main函数开始运行的时候,堆栈里面将被依次放入返回地址,EBP。
我们用gcc -S 来获得汇编语言输出,可以看到main函数的开头部分对应如下语句:
pushl %ebp
movl %esp,%ebp
subl $8,%esp
首先他把EBP保存下来,,然后EBP等于现在的ESP,这样EBP就可以用来访问本函数的
局部变量。之后ESP减8,就是堆栈向上增长8个字节,用来存放name[]数组。现在堆栈
的布局如下:
内存底部 内存顶部
name EBP ret
<------ [ ][ ][ ]
^&name
栈顶部 堆栈底部
执行完gets(name)之后,堆栈如下:
内存底部 内存顶部
name EBP ret
<------ [ipxodi\0 ][ ][ ]
^&name
栈顶部 堆栈底部
最后,main返回,弹出ret里的地址,赋值给EIP,CPU继续执行EIP所指向的指令。
好,看起来一切顺利。我们再执行一次,输入ipxodiAAAAAAAAAAAAAAA,执行完
gets(name)之后,堆栈如下:
内存底部 内存顶部
name EBP ret
<------ [ipxodiAA][AAAA][AAAA].......
^&name
栈顶部 堆栈底部
由于我们输入的name字符串太长,name数组容纳不下,只好向内存顶部继续写
‘A’。由于堆栈的生长方向与内存的生长方向相反,这些‘A’覆盖了堆栈的
老的元素。 如图
我们可以发现,EBP,ret都已经被‘A’覆盖了。在main返回的时候,就会把
‘AAAA’的ASCII码:0x41414141作为返回地址,CPU会试图执行0x41414141处
的指令,结果出现错误。这就是一次堆栈溢出。
[解决办法]
缓冲区溢出的一种 栈溢出
[解决办法]
heap 堆
stack 堆栈
frame 桢(音对找不到字)
堆栈中的变量是一个先进后出的队列,他的生长方向与内存的生长方向正好相反。//堆栈 的生长方向依赖系统
堆栈中将被依次压入:参数,返回地址,EBP(EBP寄存器中保存当前线程的栈底指针)。// 单进程环境,IA32参数,返回地址,建立 called function 的 frame,保存 调用函数的 frame pointer 已经属于被调用函数的的内容了
在C语言程序中,参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候,是:
先压c,再压b,最后a.在取参数的时候,由于栈的先入后出,先取栈顶的a,再取b,最后取c。 // 依赖具体实现
下面没看
[解决办法]
楼上正解。楼主研究的不是C语言。是80系列的汇编。函数入栈顺序取决于调用约定。而且知道顺序也是没有意义的。
[解决办法]
楼主写的很好,但是有的概念不是程序员想乱用,而是那个名词本来就几个意思,不同情况下有不同的理解;
不要以为有的名词一定是这个意思,分场景,可能也分语气。
[解决办法]
堆栈溢出
