[原创]分析一个好玩的c语言程序-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]分析一个好玩的c语言程序

发表于: 2007-12-5 22:16 29884

[原创]分析一个好玩的c语言程序

combojiang 活跃值

2007-12-5 22:16

29884

前两天看到这么一个程序。代码如下：

#include <stdio.h>
int main()
{
const short int c1 = 49920;
const int c2 = 1073742008;

int (*pf)() = (int (*)())&c2;

printf("%c%c\n", *(char*)pf()-19, *((char*)pf()+1)-49);
return 0;
}

运行这个程序，屏幕上会出现一个：）

很多人不懂其中的道理，在这里我给大家分析下代码。

先看这两句：

const short int c1 = 49920;
const int c2 = 1073742008;

定义了两个局部变量，数值转换成16进制为：

const short int c1 = 0xc300;
const int c2 = 0x400000b8;

其中变量c1的地址为：0x0012FF7C ，占两个字节，c2的地址为：0x0012FF78，占四个字节。这两个变量占据了连续的空间。变量赋值后，从0x12ff78开始的内存单元存储的字节码为：B8 00 00 40 00 C3 。对应的汇编码是：

mov eax,400000h
ret

接下来的这句：

int (*pf)() = (int (*)())&c2;

分析如下：

定义了一个函数指针，参数为NULL，返回值为int类型。这个函数指针，指向上面的汇编码。这样，后面执行pf(),就执行了这段汇编码。

继续分析下面这句代码：

printf("%c%c\n", *(char*)pf()-19, *((char*)pf()+1)-49);

先看*(char*)pf()-19这个表达式, 执行了了pf指向的汇编代码，从汇编代码看，

这个函数调用后的返回值是0x400000，pf()前面的char *是把函数的返回值转换成一个

char*型指针，这个指针指向0x400000，前面再加个*号，表示取0x400000地址的内容，

由于是char *型指针，因此从这个地址取一个字节。

*(char*)pf()-19 表示的是从0x400000取出的字节内容再减去19。

接下来：*((char*)pf()+1)-49代表的意思是从0x400000 + 1的地址取出一个字节内容在减去49。

熟悉PE文件结构的朋友一定知道，对于exe文件0x400000是内存加载的基地址。
也就是说，0x400000 字节的内容对应的是0x4D,0x400001 字节的内容对应的是0x5A.
这是我们常说的pe文件起始的两个字节,"MZ"

这样,表达式*(char*)pf()-19的结果是0x3A ,表达式*((char*)pf()+1)-49的结果是0x29

察看ascii码表，输出就是我们看到的样子。

总结:
别看一个这么小的程序，但是其中涉及的知识面比较广。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・13

免费・7

支持

最新回复 (19)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼恐怖的说，看不懂，先标记，回头慢慢看。 2007-12-6 01:53 0
jadesoft 雪币： 20 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 125 粉丝 0 关注私信	jadesoft 1 3 楼搞得太复杂老 2007-12-6 08:42 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 4 楼这段程序有点意思，不过，说白了就是在堆栈中构造了一段指令码，然后让程序进入堆栈执行指令。如果在Release环境下，采用Maximize Speed 或 Minimize Size编译时，都会将变量c1,c2优化掉，这时，程序运行就会出现异常。 2007-12-6 09:25 0
GGGG 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 116 粉丝 0 关注私信	GGGG 5 楼正解！ ÿ 2007-12-6 12:10 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 6 楼这是科锐(www.51asm.com)给学员出的一道题目，呵呵。 2007-12-8 19:10 0
都不会雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	都不会 7 楼恩哈。。。。。。 2007-12-9 13:41 0
aca 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	aca 8 楼试着编译了一下,运行会出错,MinGW 2007-12-9 15:05 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 9 楼原题如下: /* 这题可以让人爽到极点，献给疯狂级程序玩家编译环境 VC6.0 [cl test.cpp] / #include <stdio.h> int main() { const short int c1 = 49920; const int c2 = 1073742008; int (pf)() = (int ()())&c2; printf("%c%c\n", (char)pf()-19, ((char*)pf()+1)-49); return 0; } 2007-12-9 15:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼有意思，拐个弯回来说别的事 2007-12-10 10:07 0
方程雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	方程 11 楼最最开始，是backer老师发给我们玩的。。。。我就转发了几个群。。没想到楼主发来看雪了喔？？分析得很细致。呵呵。。。。。不知道楼主在哪个群混啊？哈哈 2007-12-10 14:51 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 12 楼哈很好玩的一道题目 2007-12-10 16:44 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 13 楼 const short int c1 = 49920; const int c2 = 1073742008; 刚看到这个程序，我就在想这2个变量是什么指令机器码呢，果然，不过后面的那个基址的真是没想到了，看来要懂这个程序的话，光懂语法是没用的。。。。。。。 2007-12-10 20:06 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 14 楼 volatile const short int c1 = 49920; volatile const int c2 = 1073742008; 2007-12-10 20:13 0
lly鹅雪币： 290 活跃值： (11) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 82 粉丝 0 关注私信	lly鹅 4 15 楼确实我试了,,有异常我用的Dev-C++ 2007-12-10 20:39 0
aprice 雪币： 536 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	aprice 16 楼简直是钻牛角尖，呵呵 2007-12-10 22:16 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 17 楼反正我这里是没成功过，没有进行任何优化，dev和vc2005下都出现异常 2007-12-11 13:54 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 18 楼 const short int c0 = 0x0; const short int c1 = 0xc300; const int c2 = 0x400000b8; 在定义c1之前在定义一个c0就ok了。具体的原因自己探索一下就明白了呵呵 2007-12-11 17:21 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 19 楼有几个原因: 1:const的原因. 各个编译器对他的实现可能会不同.或许,更本就不会为他们在栈上分配空间.那么pf可能就指到只读区了.想在那里执行代码,肯定会有错误.即使能执行了,机器指令也不一定是 mov eax,0x00400000 ret 总之很随机. 2:如果把const去掉,各个编译器之间还是会存在一些差异.尽管会分配同样代销的空间,但是两个变量之间的顺序却不一定是一样的.也就是说pf执行的时候可能的代码是: ret mov eax, 0x00400000 或者是正确的预料中的: mov eax,0x00400000 ret 所以,楼主一开始就说了:编译环境限制于vc6.0. 2007-12-11 18:46 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 20 楼楼上说的很对，考虑到很多人会使用VC的默认设置。而如果将楼主的代码直接拿来使用的话还是会出现一些麻烦。 Debug版：由于Debug编译时VC不会初始化堆栈，所以内存默认为0xCC 而按照程序的本意应该构造机器码为 0012FF78 B8 00 00 40 00 mov eax,400000h 0012FF7D C3 ret 但是如果按照楼主的程序，堆栈中的实际情况却是如下： 0012FF78 B8 00 00 40 00 mov eax,400000h 0012FF7D C3 ret 0012FF7E 00 00 add byte ptr [eax],al 导致构造代码不正确执行时就会出现异常。我想很多人也应该会碰到这样的问题，所以建议做一些改变来正确初始化对应的堆栈内容而Release版变量都将被优化掉，更不用提了这个程序是挺有意思的一个小玩具，感谢楼主提供 2007-12-12 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

combojiang

发帖

765

回帖

1050

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼恐怖的说，看不懂，先标记，回头慢慢看。 2007-12-6 01:53 0
jadesoft 雪币： 20 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 125 粉丝 0 关注私信	jadesoft 1 3 楼搞得太复杂老 2007-12-6 08:42 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 4 楼这段程序有点意思，不过，说白了就是在堆栈中构造了一段指令码，然后让程序进入堆栈执行指令。如果在Release环境下，采用Maximize Speed 或 Minimize Size编译时，都会将变量c1,c2优化掉，这时，程序运行就会出现异常。 2007-12-6 09:25 0
GGGG 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 116 粉丝 0 关注私信	GGGG 5 楼正解！ ÿ 2007-12-6 12:10 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 6 楼这是科锐(www.51asm.com)给学员出的一道题目，呵呵。 2007-12-8 19:10 0
都不会雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	都不会 7 楼恩哈。。。。。。 2007-12-9 13:41 0
aca 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	aca 8 楼试着编译了一下,运行会出错,MinGW 2007-12-9 15:05 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 9 楼原题如下: /* 这题可以让人爽到极点，献给疯狂级程序玩家编译环境 VC6.0 [cl test.cpp] / #include <stdio.h> int main() { const short int c1 = 49920; const int c2 = 1073742008; int (pf)() = (int ()())&c2; printf("%c%c\n", (char)pf()-19, ((char*)pf()+1)-49); return 0; } 2007-12-9 15:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 10 楼有意思，拐个弯回来说别的事 2007-12-10 10:07 0
方程雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	方程 11 楼最最开始，是backer老师发给我们玩的。。。。我就转发了几个群。。没想到楼主发来看雪了喔？？分析得很细致。呵呵。。。。。不知道楼主在哪个群混啊？哈哈 2007-12-10 14:51 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 12 楼哈很好玩的一道题目 2007-12-10 16:44 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 13 楼 const short int c1 = 49920; const int c2 = 1073742008; 刚看到这个程序，我就在想这2个变量是什么指令机器码呢，果然，不过后面的那个基址的真是没想到了，看来要懂这个程序的话，光懂语法是没用的。。。。。。。 2007-12-10 20:06 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 14 楼 volatile const short int c1 = 49920; volatile const int c2 = 1073742008; 2007-12-10 20:13 0
lly鹅雪币： 290 活跃值： (11) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 82 粉丝 0 关注私信	lly鹅 4 15 楼确实我试了,,有异常我用的Dev-C++ 2007-12-10 20:39 0
aprice 雪币： 536 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	aprice 16 楼简直是钻牛角尖，呵呵 2007-12-10 22:16 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 17 楼反正我这里是没成功过，没有进行任何优化，dev和vc2005下都出现异常 2007-12-11 13:54 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 18 楼 const short int c0 = 0x0; const short int c1 = 0xc300; const int c2 = 0x400000b8; 在定义c1之前在定义一个c0就ok了。具体的原因自己探索一下就明白了呵呵 2007-12-11 17:21 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 19 楼有几个原因: 1:const的原因. 各个编译器对他的实现可能会不同.或许,更本就不会为他们在栈上分配空间.那么pf可能就指到只读区了.想在那里执行代码,肯定会有错误.即使能执行了,机器指令也不一定是 mov eax,0x00400000 ret 总之很随机. 2:如果把const去掉,各个编译器之间还是会存在一些差异.尽管会分配同样代销的空间,但是两个变量之间的顺序却不一定是一样的.也就是说pf执行的时候可能的代码是: ret mov eax, 0x00400000 或者是正确的预料中的: mov eax,0x00400000 ret 所以,楼主一开始就说了:编译环境限制于vc6.0. 2007-12-11 18:46 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 20 楼楼上说的很对，考虑到很多人会使用VC的默认设置。而如果将楼主的代码直接拿来使用的话还是会出现一些麻烦。 Debug版：由于Debug编译时VC不会初始化堆栈，所以内存默认为0xCC 而按照程序的本意应该构造机器码为 0012FF78 B8 00 00 40 00 mov eax,400000h 0012FF7D C3 ret 但是如果按照楼主的程序，堆栈中的实际情况却是如下： 0012FF78 B8 00 00 40 00 mov eax,400000h 0012FF7D C3 ret 0012FF7E 00 00 add byte ptr [eax],al 导致构造代码不正确执行时就会出现异常。我想很多人也应该会碰到这样的问题，所以建议做一些改变来正确初始化对应的堆栈内容而Release版变量都将被优化掉，更不用提了这个程序是挺有意思的一个小玩具，感谢楼主提供 2007-12-12 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复