20145314郑凯杰《信息安全系统设计基础》GDB调试32位汇编堆栈分析

20145314郑凯杰《信息安全系统设计基础》GDB调试32位汇编堆栈分析

本篇博客将对第五周博客中的GDB调试32位汇编堆栈进行分析

首先放上以前环境配置的图：

图1：

测试代码：

#include <stdio.h>

int g(int x){
return x+5;
}

int f(int x){
return g(x)+3;
}

int main(ing argv,char *argc[]){
return f(7)+14;
}

汇编堆栈分析过程：

预热

首先，进行最简单的helloworld的测试，用以熟悉步骤

图2:

使用gcc - g example.c -o example -m32指令在64位的机器上产生32位汇编，然后使用gdb example指令进入gdb调试器：

用 b 位置 语句先在main函数处设置一个断点，r一下，使用disassemble指令获取汇编代码

图3：

图4：

完成预热，开始执行我的代码wk5run.c

正式汇编栈堆分析

图5：

按上面的步骤跑wk5run.c，并用gdb 进入gdb调试器，并查看汇编代码

图6：

设置断点在main函数处，并查看寄存器的值。

图7:

接下来改设断点至g函数，同样的步骤

图8：

图9：

调试过程

元知识：

• 单步执行使用si
• 单步执行时输出正在执行的语句display /i $pc
• 输出对应的寄存器中的值，方便我们跟踪调试 i r $xxx

对于断点设在main的情况，我们进行 跟踪调试

图10：

%eip为当前执行的指令的地址，%eax用于实参存储，计算，%ebp、%esp用于存储栈指针地址

接下来使用si进行单步执行，然后继续观察

图11：

通过观察，我们可以看到，main的值上涨2，而此时esp的值会-4.

分析：这是因为call指令使

图12：

再次进行单步执行，我们发现esp值已经发生变化，说明程序按照流程正在进行。

分析：此时eip中的值入栈了，明显的看到了esp值改变

图13：

程序进动，上一个函数的基址入栈，当前%esp作为新基址

图14：

分析：%esp的值减4，然后eax中增加了6，是为了后面的计算作准备，根据后面来分析。

我知道最终输出的值是在%eax中输出的，因此我直接不断进行si指令并在每一次调出“i r $eip $ebp $esp $eax”来查看各寄存器中的值。

直到出现以下界面：

图15：

从图中可以看到ebp、esp的值首先变化，然后带动最终的eax寄存器中的值也从原来的空到现在有值的变化。

还可以看到，现在已经开始地址入栈了，调用了g函数

图16：

接下来继续执行，g函数中的步骤在一步一步进行，%eax中的值也随着步骤在增长

图17：

此后出现了ret语句，所以对此前的所有语句进行一次分析：

• 在调用f函数时，call指令将会将下一条指令的地址入栈
• 在push语句时，标明该步骤需要数值出栈。
• call语句将吓一跳指令地址入栈

接下来遇到其他语句：

图18：

pop语句：出栈，将地址弹到%ebp中。

ret指令：将之前入栈的代码地址弹回%eip中，此后开始执行f函数

add指令：简单的将寄存器中的值相加

图19:

程序如上执行，这里我们遇到了一个leave指令

不是很懂leave指令是做啥的，参考了卢肖明的博客之后，我发现他这么说的

图20：

也就是说，leave指令起到的是恢复功能，其原理是先进行寄存器对齐对位，然后再进行弹栈操作。

另一方面，在寄存器中的值也是按照步骤而上涨

图21：

最终，完成执行，分析也到此结束。

指令	%esp	%ebp	%eip	%eax	堆栈
push $0x7	0xffffd098	0xffffd098	0x80483fc	0xf7fbadbc	0x0
call 0x80483e6	0xffffd094	0xffffd098	0x80483fe	0xf7fbadbc	0x7 0x0
push 0xffffd098	0xffffd094	0xffffd098	0x80483fe	0xf7fbadbc	0x08048403 0x7 0x0
mov %esp %ebp	0xffffd08c	0xffffd098	0x80483e7	0xf7fbadbc	0x08048403 0x7 0x0
pushl 0x8(%ebp)	0xffffd08c	0xffffd08c	0x80483e9	0xf7fbadbc	0xffffd08c 0x08048403 0x7 0x0
call 0x80483db(g)	0xffffd088	0xffffd08c	0x80483ec	0xf7fbadbc	0x80483ec 0xffffd08c 0x08048403 0x7 0x0
push %ebp	0xffffd084	0xffffd08c	0x80483db	0xf7fbadbc	0xffffd08c 0x80483ec 0xffffd08c 0x08048403 0x7 0x0
mov %esp %ebp	0xffffd080	0xffffd08c	0x80483dc	0xf7fbadbc	0xffffd08c 0x80483ec 0xffffd08c 0x08048403 0x7 0x0
mov (0x8)%ebp %eax	0xffffd080	0xffffd080	0x80483de	0xf7fbadbc	0xffffd08c 0x80483ec 0xffffd08c 0x08048403 0x7 0x0
add $ox5 %eax	0xffffd080	0xffffd080	0x80483e1	0x7	0xffffd08c 0x80483ec 0xffffd08c 0x08048403 0x7 0x0
pop %ebp	0xffffd080	0xffffd080	0x80483e4	0xc	0x80483ec 0xffffd08c 0x08048403 0x7 0x0
ret	0xffffd084	0xffffd08c	0x80483e5	0xc	0xffffd08c 0x08048403 0x7 0x0
add $0x4 $esp	0xffffd088	0xffffd08c	0x80483f1	0xc	0xffffd08c 0x08048403 0x7 0x0
add $0x3 $eax	0xffffd08c	0xffffd08c	0x80483f4	0xc	0xffffd08c 0x08048403 0x7 0x0
leave	0xffffd08c	0xffffd08c	0x80483f7	0xf	0x08048403 0x7 0x0
ret	0xffffd090	0xffffd0898	0x80483f8	0xf	0x7 0x0
add $0x4 $esp	0xffffd094	0xffffd0898	0x8048403	0xf	0x7 0x0
add $0x13 $eax	0xffffd098	0xffffd0898	0x8048406	0xf	0x7 0x0
leave	0xffffd098	0xffffd0898	0x8048409	0x22	0x0
ret	0xffffd09c	0x0	0x804840a	0x22
add $0x10 $esp	0xffffd0a0	0x0	0x7e21637	0x22
sub 0xc %esp	0xffffd0b0	0x0	0x7e2163a	0x22
push %eax	0xffffd0a4	0x0	0x7e2163d	0x22
call 0xf7e377b0	0xffffd0a0	0x0	0x7e2163e	0x22
call 0xf7f260d9	0xffffd09c	0x0	0x7e377b0	0x22