首页
社区
课程
招聘
[原创]分析一个好玩的c语言程序
发表于: 2007-12-5 22:16 29875

[原创]分析一个好玩的c语言程序

2007-12-5 22:16
29875

前两天看到这么一个程序。代码如下:

#include <stdio.h>
int main()
{
    const short int c1 = 49920;
    const int c2 = 1073742008;

    int (*pf)() = (int (*)())&c2;

    printf("%c%c\n", *(char*)pf()-19, *((char*)pf()+1)-49);
    return   0;
}

运行这个程序,屏幕上会出现一个 :)

很多人不懂其中的道理,在这里我给大家分析下代码。

先看这两句:

    const short int c1 = 49920;
    const int c2 = 1073742008;

定义了两个局部变量,数值转换成16进制为:

    const short int c1 = 0xc300;
    const int c2 = 0x400000b8;

其中变量c1的地址为:0x0012FF7C ,占两个字节,c2的地址为:0x0012FF78,占四个字节。这两个变量占据了连续的空间。变量赋值后,从0x12ff78开始的内存单元存储的字节码为:B8 00 00 40 00 C3 。对应的汇编码是:

    mov         eax,400000h
    ret

接下来的这句:

int (*pf)() = (int (*)())&c2;

分析如下:

定义了一个函数指针,参数为NULL,返回值为int类型。 这个函数指针,指向上面的汇编码。这样,后面执行pf(),就执行了这段汇编码。

继续分析下面这句代码:

printf("%c%c\n", *(char*)pf()-19, *((char*)pf()+1)-49);

先看*(char*)pf()-19这个表达式, 执行了了pf指向的汇编代码,从汇编代码看,

这个函数调用后的返回值是0x400000,pf()前面的char *是把函数的返回值转换成一个

char*型指针,这个指针指向0x400000,前面再加个*号,表示取0x400000地址的内容,

由于是char *型指针,因此从这个地址取一个字节。

*(char*)pf()-19 表示的是从0x400000取出的字节内容再减去19。

接下来:*((char*)pf()+1)-49代表的意思是从0x400000 + 1的地址取出一个字节内容在减去49。

熟悉PE文件结构的朋友一定知道,对于exe文件0x400000是内存加载的基地址。
也就是说,0x400000 字节的内容对应的是0x4D,0x400001 字节的内容对应的是0x5A.
这是我们常说的pe文件起始的两个字节,"MZ"

这样,表达式*(char*)pf()-19的结果是0x3A ,表达式*((char*)pf()+1)-49的结果是0x29

察看ascii码表,输出就是我们看到的样子。

总结:
  别看一个这么小的程序,但是其中涉及的知识面比较广。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (19)
雪    币: 1852
活跃值: (504)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
2
恐怖的说,看不懂,先标记,回头慢慢看。
2007-12-6 01:53
0
雪    币: 20
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
搞得太复杂老
2007-12-6 08:42
0
雪    币: 266
活跃值: (52)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
4
这段程序有点意思,不过,说白了就是在堆栈中构造了一段指令码,然后让程序进入堆栈执行指令。

如果在Release环境下,采用Maximize Speed 或 Minimize Size编译时,都会将变量c1,c2优化掉,这时,程序运行就会出现异常。
2007-12-6 09:25
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
正解!                                                                                                              ÿ
2007-12-6 12:10
0
雪    币: 1829
活跃值: (1372)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
6
这是科锐(www.51asm.com)给学员出的一道题目,呵呵。
2007-12-8 19:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
恩哈。。。。。。
2007-12-9 13:41
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
aca
8
试着编译了一下,运行会出错,MinGW
2007-12-9 15:05
0
雪    币: 1829
活跃值: (1372)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
9
原题如下:
/* 这题可以让人爽到极点,献给疯狂级程序玩家
编译环境 VC6.0 [cl test.cpp] */


#include <stdio.h>
int main()
{
    const short int c1 = 49920;
    const int c2 = 1073742008;

    int (*pf)() = (int (*)())&c2;
    printf("%c%c\n", *(char*)pf()-19, *((char*)pf()+1)-49);
    return   0;
}
2007-12-9 15:20
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
有意思,拐个弯回来说别的事
2007-12-10 10:07
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
最最开始,是backer老师发给我们玩的。。。。我就转发了几个群。。没想到楼主发来看雪了喔??

分析得很细致。呵呵。。。。。

不知道楼主在哪个群混啊?哈哈
2007-12-10 14:51
0
雪    币: 27
活跃值: (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
哈 很好玩的一道题目
2007-12-10 16:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
const short int c1 = 49920;
    const int c2 = 1073742008;

刚看到这个程序,我就在想这2个变量是什么指令机器码呢 ,果然,不过后面的那个基址的真是没想到了,看来要懂这个程序的话,光懂语法是没用的。。。。。。。
2007-12-10 20:06
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
volatile const short int c1 = 49920;
  volatile  const int c2 = 1073742008;
2007-12-10 20:13
0
雪    币: 290
活跃值: (11)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
15

确实我试了,,有异常我用的Dev-C++
2007-12-10 20:39
0
雪    币: 534
活跃值: (240)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
简直是钻牛角尖,呵呵
2007-12-10 22:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
反正我这里是没成功过,没有进行任何优化,dev和vc2005下都出现异常
2007-12-11 13:54
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
        const short int c0 = 0x0;
        const short int c1 = 0xc300;
        const int c2 = 0x400000b8;
在定义c1之前在定义一个c0就ok了。具体的原因自己探索一下就明白了 呵呵
2007-12-11 17:21
0
雪    币: 297
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
19
有几个原因:

1:const的原因.
各个编译器对他的实现可能会不同.或许,更本就不会为他们在栈上分配空间.那么pf可能就指到只读区了.想在那里执行代码,肯定会有错误.即使能执行了,机器指令也不一定是
mov eax,0x00400000
ret
总之很随机.

2:如果把const去掉,各个编译器之间还是会存在一些差异.尽管会分配同样代销的空间,但是两个变量之间的顺序却不一定是一样的.也就是说pf执行的时候可能的代码是:
ret
mov eax, 0x00400000
或者是正确的预料中的:
mov eax,0x00400000
ret

所以,楼主一开始就说了:编译环境限制于vc6.0.
2007-12-11 18:46
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
楼上说的很对,考虑到很多人会使用VC的默认设置。
而如果将楼主的代码直接拿来使用的话还是会出现一些麻烦。

Debug版:
由于Debug编译时VC不会初始化堆栈,所以内存默认为0xCC
而按照程序的本意应该构造机器码为
0012FF78 B8 00 00 40 00       mov         eax,400000h
0012FF7D C3                   ret
但是如果按照楼主的程序,堆栈中的实际情况却是如下:
0012FF78 B8 00 00 40 00       mov         eax,400000h
0012FF7D C3                   ret
0012FF7E 00 00                add         byte ptr [eax],al
导致构造代码不正确执行时就会出现异常。
我想很多人也应该会碰到这样的问题,所以建议做一些改变来正确初始化对应的堆栈内容

而Release版 变量都将被优化掉,更不用提了

这个程序是挺有意思的一个小玩具,感谢楼主提供
2007-12-12 09:08
0
游客
登录 | 注册 方可回帖
返回
//