如何使用堆栈框架访问函数的第一个参数?
How can one access first parameter of a function using stack frame?
SPOJ about creating a function in a single line with some constraints. I've already solved the easy, medium and hard ones, but for the impossible 中出现了一系列问题,我总是得到错误的答案。
综上所述,本题要求填写return语句的代码,如果x为1,则return的值应为2。对于其他x值,则should return 3.约束条件是不能使用字母'x',不能再添加代码;只能对 return 语句进行编码。显然,要解决这个问题,必须创建一个 hack。
所以我使用了gcc的内置方法来获取堆栈帧,然后减少指针以获得指向第一个参数的指针。除此之外,该声明只是一个正常的比较。
在我的机器上运行良好,但是对于在线评委使用的集群(Intel Pentinum G860),它不起作用,可能是调用约定不同所致。我不确定我是否理解处理器的 ABI(我不确定堆栈帧指针是保存在堆栈中还是仅保存在寄存器中),或者即使我正在读取正确的 ABI。
问题是:使用堆栈获取函数第一个参数的正确方法是什么?
我的代码是(必须这样格式化,否则不接受):
#include <stdio.h>
int count(int x){
return (*(((int*)__builtin_frame_address(0))-1) == 1) ? 2 : 3;
}
int main(i){
for(i=1;i%1000001;i++)
printf("%d %d\n",i,count(i));
return 0;
}
The question is: what would be the correct way to get the first
parameter of a function using the stack?
便携方式没办法。您必须假定特定的编译器、其设置和 ABI,以及调用约定。
gcc
编译器 可能 到 "lay down" 具有 -0x4
偏移量的 int
局部变量(假设 sizeof(int) == 4
).您可能会观察到 count
:
的最基本定义
4 {
0x00000000004004c4 <+0>: push %rbp
0x00000000004004c5 <+1>: mov %rsp,%rbp
0x00000000004004c8 <+4>: mov %edi,-0x4(%rbp)
5 return x == 1 ? 2 : 3;
0x00000000004004cb <+7>: cmpl [=10=]x1,-0x4(%rbp)
0x00000000004004cf <+11>: jne 0x4004d8 <count+20>
0x00000000004004d1 <+13>: mov [=10=]x2,%eax
0x00000000004004d6 <+18>: jmp 0x4004dd <count+25>
0x00000000004004d8 <+20>: mov [=10=]x3,%eax
6 }
0x00000000004004dd <+25>: leaveq
0x00000000004004de <+26>: retq
您可能还会看到 %edi
寄存器保存第一个参数。 AMD64 ABI 就是这种情况(%edi
也不会在调用之间保留)。
现在,有了这些知识,您可能会写出如下内容:
int count(int x)
{
return *((int*)(__builtin_frame_address(0) - sizeof(int))) == 1 ? 2 : 3;
}
可以混淆为:
return *((int*)(__builtin_frame_address(0)-sizeof(int)))==1?2:3;
然而,诀窍是这样的 optimizing compiler 可能会热情地假设,因为 x
没有在 count
中被引用,所以它可以简单地跳过进入堆栈。例如,它生成以下带有 -O
标志的程序集:
4 {
0x00000000004004c4 <+0>: push %rbp
0x00000000004004c5 <+1>: mov %rsp,%rbp
5 return *((int*)(__builtin_frame_address(0)-sizeof(int)))==1?2:3;
0x00000000004004c8 <+4>: cmpl [=13=]x1,-0x4(%rbp)
0x00000000004004cc <+8>: setne %al
0x00000000004004cf <+11>: movzbl %al,%eax
0x00000000004004d2 <+14>: add [=13=]x2,%eax
6 }
0x00000000004004d5 <+17>: leaveq
0x00000000004004d6 <+18>: retq
如您所见,现在缺少 mov %edi,-0x4(%rbp)
指令,因此 1 的唯一方法是从 [=20= 访问 x
的值] 注册:
int count(int x)
{
return ({register int edi asm("edi");edi==1?2:3;});
}
但是这种方法缺乏 "obfuscate" 的能力,因为变量声明需要空格,其值是 %edi
.
1) 不一定。即使编译器决定跳过从寄存器到堆栈的 mov
操作,仍然有可能通过 asm("mov %edi,-0x4(%rbp)");
内联汇编 "force" 它这样做。不过要小心,编译器迟早会报复。
C 标准在任何实现中都不需要堆栈,所以您的问题实际上没有任何意义。
在 gcc 的上下文中,行为在 x86 和 x86-64(以及任何其他)中是不同的。
在 x86 中,参数驻留在堆栈中,但在 x86-64 中,前 6 个参数(包括隐式参数)驻留在寄存器中。所以基本上你不能像你说的那样进行黑客攻击。
如果你想破解代码,你需要指定你想要运行的平台,否则,没有必要回答你的问题。
SPOJ about creating a function in a single line with some constraints. I've already solved the easy, medium and hard ones, but for the impossible 中出现了一系列问题,我总是得到错误的答案。
综上所述,本题要求填写return语句的代码,如果x为1,则return的值应为2。对于其他x值,则should return 3.约束条件是不能使用字母'x',不能再添加代码;只能对 return 语句进行编码。显然,要解决这个问题,必须创建一个 hack。
所以我使用了gcc的内置方法来获取堆栈帧,然后减少指针以获得指向第一个参数的指针。除此之外,该声明只是一个正常的比较。
在我的机器上运行良好,但是对于在线评委使用的集群(Intel Pentinum G860),它不起作用,可能是调用约定不同所致。我不确定我是否理解处理器的 ABI(我不确定堆栈帧指针是保存在堆栈中还是仅保存在寄存器中),或者即使我正在读取正确的 ABI。
问题是:使用堆栈获取函数第一个参数的正确方法是什么?
我的代码是(必须这样格式化,否则不接受):
#include <stdio.h>
int count(int x){
return (*(((int*)__builtin_frame_address(0))-1) == 1) ? 2 : 3;
}
int main(i){
for(i=1;i%1000001;i++)
printf("%d %d\n",i,count(i));
return 0;
}
The question is: what would be the correct way to get the first parameter of a function using the stack?
便携方式没办法。您必须假定特定的编译器、其设置和 ABI,以及调用约定。
gcc
编译器 可能 到 "lay down" 具有 -0x4
偏移量的 int
局部变量(假设 sizeof(int) == 4
).您可能会观察到 count
:
4 {
0x00000000004004c4 <+0>: push %rbp
0x00000000004004c5 <+1>: mov %rsp,%rbp
0x00000000004004c8 <+4>: mov %edi,-0x4(%rbp)
5 return x == 1 ? 2 : 3;
0x00000000004004cb <+7>: cmpl [=10=]x1,-0x4(%rbp)
0x00000000004004cf <+11>: jne 0x4004d8 <count+20>
0x00000000004004d1 <+13>: mov [=10=]x2,%eax
0x00000000004004d6 <+18>: jmp 0x4004dd <count+25>
0x00000000004004d8 <+20>: mov [=10=]x3,%eax
6 }
0x00000000004004dd <+25>: leaveq
0x00000000004004de <+26>: retq
您可能还会看到 %edi
寄存器保存第一个参数。 AMD64 ABI 就是这种情况(%edi
也不会在调用之间保留)。
现在,有了这些知识,您可能会写出如下内容:
int count(int x)
{
return *((int*)(__builtin_frame_address(0) - sizeof(int))) == 1 ? 2 : 3;
}
可以混淆为:
return *((int*)(__builtin_frame_address(0)-sizeof(int)))==1?2:3;
然而,诀窍是这样的 optimizing compiler 可能会热情地假设,因为 x
没有在 count
中被引用,所以它可以简单地跳过进入堆栈。例如,它生成以下带有 -O
标志的程序集:
4 {
0x00000000004004c4 <+0>: push %rbp
0x00000000004004c5 <+1>: mov %rsp,%rbp
5 return *((int*)(__builtin_frame_address(0)-sizeof(int)))==1?2:3;
0x00000000004004c8 <+4>: cmpl [=13=]x1,-0x4(%rbp)
0x00000000004004cc <+8>: setne %al
0x00000000004004cf <+11>: movzbl %al,%eax
0x00000000004004d2 <+14>: add [=13=]x2,%eax
6 }
0x00000000004004d5 <+17>: leaveq
0x00000000004004d6 <+18>: retq
如您所见,现在缺少 mov %edi,-0x4(%rbp)
指令,因此 1 的唯一方法是从 [=20= 访问 x
的值] 注册:
int count(int x)
{
return ({register int edi asm("edi");edi==1?2:3;});
}
但是这种方法缺乏 "obfuscate" 的能力,因为变量声明需要空格,其值是 %edi
.
1) 不一定。即使编译器决定跳过从寄存器到堆栈的 mov
操作,仍然有可能通过 asm("mov %edi,-0x4(%rbp)");
内联汇编 "force" 它这样做。不过要小心,编译器迟早会报复。
C 标准在任何实现中都不需要堆栈,所以您的问题实际上没有任何意义。
在 gcc 的上下文中,行为在 x86 和 x86-64(以及任何其他)中是不同的。
在 x86 中,参数驻留在堆栈中,但在 x86-64 中,前 6 个参数(包括隐式参数)驻留在寄存器中。所以基本上你不能像你说的那样进行黑客攻击。
如果你想破解代码,你需要指定你想要运行的平台,否则,没有必要回答你的问题。