[求助]关于变量在缓冲区的存储问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]关于变量在缓冲区的存储问题

2007-8-14 09:48 13092

[求助]关于变量在缓冲区的存储问题

高亮

2007-8-14 09:48

13092

#include <stdio.h>
#include <string.h>
char a[]="aaaabbbbccccddddeeeeffffgggghhhh";
      int main()
{
//char a[]="aaaabbbbccccddddeeeeffffgggghhhh";
char b[4];

strcpy(b,a);

      return 0;
}

代码如上，编译运行出报错对话筐。书上解释为典型的堆栈溢出。
但是倘若将数组a定义在main函数内，则正常运行，那为何此时不
溢出了呢？

小弟心里犯嘀咕：
是不是全局变量在栈里定义，而局部变量则定义在普通内存区？
到底有那些变量是在堆栈区开辟空间存储的呢？

麻烦各位大牛们指点迷津，不甚感激:)

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

点赞・7

打赏

最新回复 (23)
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 2007-8-14 12:27 2 楼 0 其实不是定义在MAIN里面没有溢出而是溢出到a自己里面去了，对于b来说已经是溢出了。不信你printf("%s", a);看。或者你把b的定义放a前面，程序照样溢出。局部变量一般在栈内分配空间，全局变量一般在普通内存分配空间
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-8-14 13:18 3 楼 0 哦明白了原来如此非常感谢4nil指点谢谢总结：先定义的局部变量分配在栈的较高处，溢出时是向栈高处溢。
冲天剑雪币： 433 活跃值： (176) 能力值： ( LV13，RANK：1250 ) 在线值：发帖 49 回帖 230 粉丝 4 关注私信	冲天剑 31 2007-8-14 13:41 4 楼 0 晕，没仔细看，该说的都让坐沙发的说了，那就看个图吧上传的附件： jieshi.JPG （36.03kb，665次下载）
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-9-17 19:36 5 楼 0 [QUOTE=冲天剑;345620]晕，没仔细看，该说的都让坐沙发的说了，那就看个图吧 [/QUOTE] 哈非常感谢冲天剑做的图片当时因为问题解决了所以一直没在关注帖子今天看到您的图片印象更深了
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 147 粉丝 0 关注私信	天线宝宝 2007-9-17 21:42 6 楼 0 高兴高兴
chinalyy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chinalyy 2007-9-17 22:12 7 楼 0 谢谢，我也学到了
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 1 关注私信	【BiNg】 2007-9-17 22:26 8 楼 0 我也学习一下了学习 & 支持
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-10-15 17:15 9 楼 0 呵呵看到又有人学到东东了自己也特开心看雪是个好地方氛围好牛人多且喜欢帮助别人在这里我学到了好多真心感谢所有帮助过我的朋友们 thx :)
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 2007-10-16 09:26 10 楼 0 如果溢出刚好覆盖返回地址，而这个返回地址又是你特意安排的，那么就是一个最初等的溢出攻击！
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2008-2-6 18:07 11 楼 0 哈哈，今天来到看到这里都是一个精字开头惟独我的是一个求助哈哈再看看当初的问题哦自己当时真的太懒了调试一下看看不就ok了嘛、、成长见证！
pzhhw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	pzhhw 2008-2-22 23:54 12 楼 0 谢谢,也学习啦.
吹冷风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	吹冷风 2008-3-1 22:11 13 楼 0 学习一下太深奥了,我也太小菜了@~
wpclub 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	wpclub 2008-3-25 23:22 14 楼 0 真的是如楼主所说的会编译不过吗？我在vc下没有问题顺便再附上反汇编的代码，说明一下： #include <stdio.h> 2: #include <string.h> 3: //char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 4: int main() 5: { 0040D6F0 push ebp 0040D6F1 mov ebp,esp 0040D6F3 sub esp,68h ；debug模式下会预留出一部分的空间分配局部变量 0040D6F6 push ebx 0040D6F7 push esi 0040D6F8 push edi 0040D6F9 lea edi,[ebp-68h] ；默认会以cccc填充这一部分预留空间 0040D6FC mov ecx,1Ah 0040D701 mov eax,0CCCCCCCCh 0040D706 rep stos dword ptr [edi] 6: char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 0040D708 mov ecx,8 0040D70D mov esi,offset string "aaaabbbbccccddddeeeeffffgggghhhh"... (00422fa8) 0040D712 lea edi,[ebp-24h] ；此时还有预留空间哦。。。 0040D715 rep movs dword ptr [edi],dword ptr [esi] 0040D717 movs byte ptr [edi],byte ptr [esi] 7: char b[4]; 8: 9: strcpy(b,a); 0040D718 lea eax,[ebp-24h] 0040D71B push eax 0040D71C lea ecx,[ebp-28h] 0040D71F push ecx 0040D720 call strcpy (00401060) 0040D725 add esp,8 10: printf("b:%s\na:%s",b,a); 0040D728 lea edx,[ebp-24h] 0040D72B push edx 0040D72C lea eax,[ebp-28h] 0040D72F push eax 0040D730 push offset string "b:%s\na:%s" (00422f9c) 0040D735 call printf (0040d670) 0040D73A add esp,0Ch 11: 12: return 0;
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 115 粉丝 5 关注私信	xfish 5 2008-3-26 02:33 15 楼 0 楼上的。lz的说的是数组是全局变量在编译时候发生错误。局部变量strcpy的时候拷贝至[ebp-28] 因为char b[4] ; 因为之前数组b是是4字节，所以此时拷贝过来的会覆盖最后以一个00填充。你可以看下ebp-8此时就是00。全局变量拷贝的时候因为之前声明的数组4字节，那么往下就是存放的之前备份的ebp值。所以就直接覆盖之前备份的esp的值。故而发生错误。其实遇到这种问题，脑海里应该勾勒出一副内存分配的图案。
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2008-3-29 13:59 16 楼 0 几位真是热心啊……感动
dachidahu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	dachidahu 2008-5-6 13:04 17 楼 0 谢谢LZ,学习ing
yese 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	yese 2008-5-30 18:43 18 楼 0 现在还是看不懂。尽力去看吧。。。。。。。。。。。。。。希望能得到更多高手的指点。。。。。。。。谢谢
小魇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	小魇 2008-6-14 12:38 19 楼 0 W我觉得这还不错。。我刚开始学。谢谢。拉楼主
guyuea 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	guyuea 2008-6-14 13:31 20 楼 0 我不懂后面瞎掺和了呵呵
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 2008-7-14 20:05 21 楼 0 哇，这个帖子都1年了，不知道还该不该顶了~又学到了好多东西。尤其是4楼的Stack图真的是一目了然啊。
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 2008-7-28 11:22 22 楼 0 0040D6F9 lea edi,[ebp-68h] ；默认会以cccc填充这一部分预留空间 0040D6FC mov ecx,1Ah 0040D701 mov eax,0CCCCCCCCh 0040D706 rep stos dword ptr [edi] 6: char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 问题：用rep 重复 stos有什么意义吗？是不是把 eax的内容放入dword ptr [edi]的动作重复1AH次啊谢谢！
小猫猫雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	小猫猫 2008-8-11 22:55 23 楼 0 学习中。。。。 ing
随风之幻雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	随风之幻 2008-10-14 14:42 24 楼 0 全局变量是再.data里面定义了。而函数里面的变量是再栈里面。这样导致栈溢出了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

高亮

发帖

回帖

RANK

关注

私信

他的文章

[求助]bugvuln？dummy？以及电脑前的你！你们懂的：comraider 调试报错：灾难性故障 8000FFFF:eek:

[求助][求助]暴风影音<3.9.4.17 OnBeforeVideoDownload（）函数溢出测试

[求助]关于汇编的2个小问题

[求助]od在这种情况下如何下断？

[求助]调试shellcode遇到的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
4nil 雪币： 313 活跃值： (440) 能力值： ( LV12，RANK：530 ) 在线值：发帖 45 回帖 631 粉丝 2 关注私信	4nil 13 2007-8-14 12:27 2 楼 0 其实不是定义在MAIN里面没有溢出而是溢出到a自己里面去了，对于b来说已经是溢出了。不信你printf("%s", a);看。或者你把b的定义放a前面，程序照样溢出。局部变量一般在栈内分配空间，全局变量一般在普通内存分配空间
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-8-14 13:18 3 楼 0 哦明白了原来如此非常感谢4nil指点谢谢总结：先定义的局部变量分配在栈的较高处，溢出时是向栈高处溢。
冲天剑雪币： 433 活跃值： (176) 能力值： ( LV13，RANK：1250 ) 在线值：发帖 49 回帖 230 粉丝 4 关注私信	冲天剑 31 2007-8-14 13:41 4 楼 0 晕，没仔细看，该说的都让坐沙发的说了，那就看个图吧上传的附件： jieshi.JPG （36.03kb，665次下载）
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-9-17 19:36 5 楼 0 [QUOTE=冲天剑;345620]晕，没仔细看，该说的都让坐沙发的说了，那就看个图吧 [/QUOTE] 哈非常感谢冲天剑做的图片当时因为问题解决了所以一直没在关注帖子今天看到您的图片印象更深了
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 147 粉丝 0 关注私信	天线宝宝 2007-9-17 21:42 6 楼 0 高兴高兴
chinalyy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chinalyy 2007-9-17 22:12 7 楼 0 谢谢，我也学到了
【BiNg】雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 1 关注私信	【BiNg】 2007-9-17 22:26 8 楼 0 我也学习一下了学习 & 支持
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2007-10-15 17:15 9 楼 0 呵呵看到又有人学到东东了自己也特开心看雪是个好地方氛围好牛人多且喜欢帮助别人在这里我学到了好多真心感谢所有帮助过我的朋友们 thx :)
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 2007-10-16 09:26 10 楼 0 如果溢出刚好覆盖返回地址，而这个返回地址又是你特意安排的，那么就是一个最初等的溢出攻击！
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2008-2-6 18:07 11 楼 0 哈哈，今天来到看到这里都是一个精字开头惟独我的是一个求助哈哈再看看当初的问题哦自己当时真的太懒了调试一下看看不就ok了嘛、、成长见证！
pzhhw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	pzhhw 2008-2-22 23:54 12 楼 0 谢谢,也学习啦.
吹冷风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	吹冷风 2008-3-1 22:11 13 楼 0 学习一下太深奥了,我也太小菜了@~
wpclub 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	wpclub 2008-3-25 23:22 14 楼 0 真的是如楼主所说的会编译不过吗？我在vc下没有问题顺便再附上反汇编的代码，说明一下： #include <stdio.h> 2: #include <string.h> 3: //char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 4: int main() 5: { 0040D6F0 push ebp 0040D6F1 mov ebp,esp 0040D6F3 sub esp,68h ；debug模式下会预留出一部分的空间分配局部变量 0040D6F6 push ebx 0040D6F7 push esi 0040D6F8 push edi 0040D6F9 lea edi,[ebp-68h] ；默认会以cccc填充这一部分预留空间 0040D6FC mov ecx,1Ah 0040D701 mov eax,0CCCCCCCCh 0040D706 rep stos dword ptr [edi] 6: char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 0040D708 mov ecx,8 0040D70D mov esi,offset string "aaaabbbbccccddddeeeeffffgggghhhh"... (00422fa8) 0040D712 lea edi,[ebp-24h] ；此时还有预留空间哦。。。 0040D715 rep movs dword ptr [edi],dword ptr [esi] 0040D717 movs byte ptr [edi],byte ptr [esi] 7: char b[4]; 8: 9: strcpy(b,a); 0040D718 lea eax,[ebp-24h] 0040D71B push eax 0040D71C lea ecx,[ebp-28h] 0040D71F push ecx 0040D720 call strcpy (00401060) 0040D725 add esp,8 10: printf("b:%s\na:%s",b,a); 0040D728 lea edx,[ebp-24h] 0040D72B push edx 0040D72C lea eax,[ebp-28h] 0040D72F push eax 0040D730 push offset string "b:%s\na:%s" (00422f9c) 0040D735 call printf (0040d670) 0040D73A add esp,0Ch 11: 12: return 0;
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 115 粉丝 5 关注私信	xfish 5 2008-3-26 02:33 15 楼 0 楼上的。lz的说的是数组是全局变量在编译时候发生错误。局部变量strcpy的时候拷贝至[ebp-28] 因为char b[4] ; 因为之前数组b是是4字节，所以此时拷贝过来的会覆盖最后以一个00填充。你可以看下ebp-8此时就是00。全局变量拷贝的时候因为之前声明的数组4字节，那么往下就是存放的之前备份的ebp值。所以就直接覆盖之前备份的esp的值。故而发生错误。其实遇到这种问题，脑海里应该勾勒出一副内存分配的图案。
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2008-3-29 13:59 16 楼 0 几位真是热心啊……感动
dachidahu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	dachidahu 2008-5-6 13:04 17 楼 0 谢谢LZ,学习ing
yese 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	yese 2008-5-30 18:43 18 楼 0 现在还是看不懂。尽力去看吧。。。。。。。。。。。。。。希望能得到更多高手的指点。。。。。。。。谢谢
小魇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	小魇 2008-6-14 12:38 19 楼 0 W我觉得这还不错。。我刚开始学。谢谢。拉楼主
guyuea 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	guyuea 2008-6-14 13:31 20 楼 0 我不懂后面瞎掺和了呵呵
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 2008-7-14 20:05 21 楼 0 哇，这个帖子都1年了，不知道还该不该顶了~又学到了好多东西。尤其是4楼的Stack图真的是一目了然啊。
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 2008-7-28 11:22 22 楼 0 0040D6F9 lea edi,[ebp-68h] ；默认会以cccc填充这一部分预留空间 0040D6FC mov ecx,1Ah 0040D701 mov eax,0CCCCCCCCh 0040D706 rep stos dword ptr [edi] 6: char a[]="aaaabbbbccccddddeeeeffffgggghhhh"; 问题：用rep 重复 stos有什么意义吗？是不是把 eax的内容放入dword ptr [edi]的动作重复1AH次啊谢谢！
小猫猫雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	小猫猫 2008-8-11 22:55 23 楼 0 学习中。。。。 ing
随风之幻雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	随风之幻 2008-10-14 14:42 24 楼 0 全局变量是再.data里面定义了。而函数里面的变量是再栈里面。这样导致栈溢出了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复