0x01 栈简介
首先局部变量的分配释放是通过调整栈指针实现的,栈为函数调用和定义局部变量提供了一块简单易用的空间,定义在栈上的变量不必考虑内存申请和释放。只要调整栈指针就可以分配和释放内存。
每个函数在栈中使用的区域叫做栈帧Stack Frame,在X86中,通常使用EBP寄存器作为帧指针使用,EBP寄存器所指向的栈单元中保存的是前一个EBP寄存器的值,通常也就是父函数的EBP值。帧指针不仅对函数中的代码起到定位变量和参数的参照物作用,而且将栈中的一个个栈帧串联在一起,形成了一个可以遍历所有栈帧的链条,这也就是栈回溯的基本原理。值得注意的是必须要保证函数返回时栈指针的值与进入函数时一致,即保证栈平衡。
0x02 栈帧
百度百科的经典解释:“栈帧也叫过程活动记录,是编译器用来实现过程/函数调用的一种数据结构。
可以理解为:栈帧就是存储在用户栈上的(当然内核栈同样适用)每一次函数调用涉及的相关信息的记录单元。栈帧表示程序的函数调用记录,而栈帧又是记录在栈上面,很明显栈上保持了N个栈帧的实体
0x03 栈回溯简单实现
通过帧指针ebp来实现函数返回地址,调用地址的获取。
对于这里的call指令,研究的是E8类型的call指令机器码,其他类型的call指令并未采取相关的操作。
机器码e8后面的四字节是一个相对偏移,即当前指令指针中(EIP)(即下一条指令的地址)的值与目的地址(被调函数首地址)的差值。所以目的地址(被调函数首地址)的计算方法为: 目的地址 = 返回地址 + 相对偏移(四字节机器码)
下一条指令地址:0x011c1722 + 5 = 011c1727
如上图:0x011c1727 + 0xFFFFF933 = 0x011c105a目的地址(被调函数首地址)
所以可以根据call机器指令的特征码E8来找到函数返回地址和被调用函数地址。
void __stdcall StackTraceFunction(int StackBase, int ebp, int esp)
{
LONG_PTR LimitCount = 30;
LONG_PTR RetAddress = 0;
LONG_PTR CalleeFunctionAddress = 0;
printf("ebp RetAddress CalleeFunctionAddress
");
while ((ebp > esp) && (ebp < StackBase) && (LimitCount--))
{
int v1 = ebp;
int v2 = esp;
RetAddress = *(LONG_PTR *)(ebp + 4);
CalleeFunctionAddress = 0;
if (*(unsigned char *)(RetAddress - 5) == 0xe8)
{
CalleeFunctionAddress = *(LONG_PTR *)(RetAddress - 4) + RetAddress;
}
printf("%08x %08x %08x
", ebp, RetAddress, CalleeFunctionAddress);
ebp = *(LONG_PTR *)ebp;
}
}