笔试知识总结(5)

1970-01-01 08:00

指令，程序由该点继续运行。

堆：一般是在堆的头部用一个字节存放堆的大小。堆中的具体内容有程序员安排。

2.6存取效率的比较

char s1[] = \char *s2 = \aaaaaaaaaaa是在运行时刻赋值的；而bbbbbbbbbbb是在编译时就确定的；

但是，在以后的存取中，在栈上的数组比指针所指向的字符串(例如堆)快。比如： #include void main() {

char a = 1;

char c[] = \char *p =\a = c[1]; a = p[1]; return; }

对应的汇编代码 10: a = c[1];

00401067 8A 4D F1 mov cl,byte ptr [ebp-0Fh] 0040106A 88 4D FC mov byte ptr [ebp-4],cl 11: a = p[1];

0040106D 8B 55 EC mov edx,dword ptr [ebp-14h] 00401070 8A 42 01 mov al,byte ptr [edx+1] 00401073 88 45 FC mov byte ptr [ebp-4],al

第一种在读取时直接就把字符串中的元素读到寄存器cl中，而第二种则要先把指针值读到edx中，在根据edx读取字符，显然慢了。

2.7小结：

堆和栈的区别可以用如下的比喻来看出：

使用栈就象我们去饭馆里吃饭，只管点菜（发出申请）、付钱、和吃（使用），吃饱了就走，不必理会切菜、洗菜等准备工作和洗碗、刷锅等扫尾工作，他的好处是快捷，但是自由度小。

使用堆就象是自己动手做喜欢吃的菜肴，比较麻烦，但是比较符合自己的口味，而且自由度大。

http://www.uyuan.net/list.asp?unid=13478

windows进程中的内存结构

在阅读本文之前，如果你连堆栈是什么多不知道的话，请先阅读文章后面的基础知识。

接触过编程的人都知道，高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢？程序又是如何使用这些变量的呢？下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明，默认都使用VC编译的release版。

首先，来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local)，静态变量(Static)、寄存器变量(Regeister)。每种变量都有不同的分配方式。先来看下面这段代码：

#include

int g1=0, g2=0, g3=0;

int main() {

static int s1=0, s2=0, s3=0; int v1=0, v2=0, v3=0;

//打印出各个变量的内存地址

printf(\打印各本地变量的内存地址 printf(\printf(\

printf(\打印各全局变量的内存地址 printf(\printf(\

printf(\打印各静态变量的内存地址 printf(\printf(\return 0; }

编译后的执行结果是：

0x0012ff78 0x0012ff7c 0x0012ff80

0x004068d0 0x004068d4 0x004068d8

0x004068dc 0x004068e0 0x004068e4

输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量，g1,g2,g3是全局变量，s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的，但是本地变量和全局变量分配的内存地址差了十万八千里，而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言，可以在逻辑上分成3个部份：代码区，静态数据区和动态数据区。动态数据区一般就是―堆栈‖。―栈(stack)‖和―堆(heap)‖是两种不同的动态数据区，栈是一种线性结构，堆是一种链式结构。进程的每个线程都有私有的―栈‖，所以每个线程虽然代码一样，但本地变量的数据都是互不干扰。一个堆栈可以通过―基地址‖和―栈顶‖地址来描述。全局变量和静态变量分配在静态数据区，本地变量分配在动态数据区，即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。

├———————┤低端内存区域 │ …… │

├———————┤ │ 动态数据区 │ ├———————┤ │ …… │

├———————┤ │ 代码区 │ ├———————┤ │ 静态数据区 │ ├———————┤ │ …… │

├———————┤高端内存区域

堆栈是一个先进后出的数据结构，栈顶地址总是小于等于栈的基地址。我们可以先了解一下函数调用的过程，以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定，这些因素有参数的压入规则和堆栈的平衡。windows API的调用规则和ANSI C的函数调用规则是不一样的，前者由被调函数调整堆栈，后者由调用者调整堆栈。两者通过―__stdcall‖和―__cdecl‖前缀区分。先看下面这段代码：

#include

void __stdcall func(int param1,int param2,int param3) {

int var1=param1; int var2=param2; int var3=param3;

printf(\m1); //打印出各个变量的内存地址 printf(\m2); printf(\m3); printf(\printf(\printf(\return; }

int main() {

func(1,2,3); return 0; }

编译后的执行结果是：

0x0012ff78 0x0012ff7c 0x0012ff80

0x0012ff68 0x0012ff6c 0x0012ff70

├———————┤<—函数执行时的栈顶（ESP）、低端内存区域 │ …… │

├———————┤ │ var 1 │

├———————┤ │ var 2 │

├———————┤ │ var 3 │

├———————┤ │ RET │

├———————┤<—―__cdecl‖函数返回后的栈顶（ESP） │ parameter 1 │ ├———————┤ │ parameter 2 │ ├———————┤ │ parameter 3 │

├———————┤<—―__stdcall‖函数返回后的栈顶（ESP） │ …… │

├———————┤<—栈底（基地址 EBP）、高端内存区域

上图就是函数调用过程中堆栈的样子了。首先，三个参数以从又到左的次序压入堆栈，先压―param3‖，再压―param2‖，最后压入―param1‖；然后压入函数的返回地址(RET)，接着跳转到函数地址接着执行（这里要补充一点，介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后，继续压入当前EBP，然后用当前ESP代替EBP。然而，有一篇介绍windows下函数调用的文章中说，在windows下的函数调用也有这一步骤，但根据我的实际调试，并未发现这一步，这还可以从param3和var1之间只有4字节的间隙这点看出来）；第三步，将栈顶(ESP)减去一个数，为本地变量分配内存空间，上例中是减去12字节(ESP=ESP-3*4，每个int变量占用4个字节)；接着就初始化本地变量的内存空间。由于―__stdcall‖调用由被调函数调整堆栈，所以在函数返回前要恢复堆栈，先回收本地变量占用的内存(ESP=ESP+3*4)，

然后取出返回地址，填入EIP寄存器，回收先前压入参数占用的内存(ESP=ESP+3*4)，继续执行调用者的代码。参见下列汇编代码：

;--------------func 函数的汇编代码-------------------

:00401000 83EC0C sub esp, 0000000C //创建本地变量的内存空间 :00401003 8B442410 mov eax, dword ptr [esp+10] :00401007 8B4C2414 mov ecx, dword ptr [esp+14] :0040100B 8B542418 mov edx, dword ptr [esp+18] :0040100F 89442400 mov dword ptr [esp], eax :00401013 8D442410 lea eax, dword ptr [esp+10] :00401017 894C2404 mov dword ptr [esp+04], ecx

……………………（省略若干代码）

:00401075 83C43C add esp, 0000003C ;恢复堆栈，回收本地变量的内存空间 :00401078 C3 ret 000C ;函数返回，恢复参数占用的内存空间 ;如果是―__cdecl‖的话，这里是―ret‖，堆栈将由调用者恢复

;-------------------函数结束-------------------------

;--------------主程序调用func函数的代码--------------

:00401080 6A03 push 00000003 //压入参数param3 :00401082 6A02 push 00000002 //压入参数param2 :00401084 6A01 push 00000001 //压入参数param1 :00401086 E875FFFFFF call 00401000 //调用func函数

;如果是―__cdecl‖的话，将在这里恢复堆栈，―add esp, 0000000C‖

聪明的读者看到这里，差不多就明白缓冲溢出的原理了。先来看下面的代码：

#include #include

void __stdcall func() {

char lpBuff[8]=\

strcat(lpBuff,\return; }

int main() { func();

共8页:

笔试知识总结(5).doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档