Как обмануть компилятор и "перепрыгнуть через функцию"?

@Kuzia domovenok · Регистрация: 25.03.2012

Студворк — интернет-сервис помощи студентам

Известно, что адрес возврата из функции сохраняется на стеке. (В данном эксперименте мы отключим все виды инлайна в оптимизациях).
Так вот, я решил воспользоваться этим свойством и написать программу, которая ломает вложенный вызов нескольких функций путём манипуляций со стеком.
Программа следующая:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
//#include <iostream>
void* ret_address;
//void* old_stack;
int get6(){
    _asm{
        mov eax, ret_address; //надеемся, что при наступлении return
// программа прыгнет прямиком в main
        mov [ebp+4], eax;
        pop ebp;//убираем из стека то, что должна 
        pop ebp;//была убрать get5 при своём завершении
    }
//std::cout<<"return 6 triggered"<<std::endl;
    return 6;
}
int get5(){
    _asm{
        mov eax, [ebp+4];
        mov ret_address, eax;
 
    }
    get6();
//std::cout<<"return 5 triggered"<<std::endl;
    return 5;
}
 
int main(){
    return get5();
}

Вопрос: почему программа вылетает с ошибкой порчи стека и регистра esp? Что я неправильно сделал?

Не по теме:

MSVS2008

Tulosba · 09.08.2013, 16:57

Не по теме:

Где тут C++, Kuzia domovenok?

@Kuzia domovenok · 09.08.2013, 17:01 **[ТС]**

Tulosba,

Сообщение от Kuzia domovenok

//#include <iostream>

И вообще, ну пусть будет Си если хочешь. Тема-то одна, хоть на Си-компиляторе собирай это, хоть на С++. Я вот проверял в студии.

Tulosba · 09.08.2013, 17:24

Не по теме:

Kuzia domovenok, где бы это не собирать, тут по сути асмовый код. И, как мне кажется, полезный ответ быстрее удастся получить в соответствующем разделе. Имхо.

@Kastaneda · 09.08.2013, 21:39

Ты манипулируешь с ebp, который используется для организации стек-фрейма и только компилятору известно где-что лежит. Т.е. я хочу сказать, что совсем не факт, что вот это

C++
1
mov [ebp+4], eax;

кладет адрес возврата туда, откуда он будет прочитан после "разрушения" стек-фрейма. Это первое, второе - не факт, что вот это

C++
1
2
mov eax, [ebp+4];
mov ret_address, eax;

сохраняет именно адрес возврата, а не, например, предыдущее значение ebp (т.к. при организации стек-фрема ebp сохраняется как раз на стеке). Ну и третье (самое важное) - здесь (и везде в подобных случаях)

C++
1
2
int get6(){
    _asm{

между первой и второй строкой есть ассемблерный код, который неизвестно что делает с регистрами, как и здесь

C++
1
2
    }
    return 6;

между закрывающейся скобкой и return.

Твоя затея может сработать так

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#include <stdio.h>
 
void *ptr = NULL;
 
void* f0()
{
lbl:
    if (ptr != NULL) {
        printf("Hello\n");
    }
 
    return &&amp;lbl;
}
 
void f1(void *exit)
{
    asm("pushl %0" :"=d"(exit));
    goto *ptr;
}
 
int main()
{
    ptr = f0();
    f1(&&exit);
 
exit:
    return 0;
}

gcc позволяет брать адреса меток оператором &&. В асм вставке мы подсовываем адрес метки exit инструкции ret из функции f0() (вообще-то этот пример писался в качестве ответа на вопрос как перейти при помощи gotо из одной ф-ции в другую). Он работает лишь чудом, потому что: 1 - маленькому коду сложей сломаться, чем большому, 2 - чудо

Внутри f0() и f1() создаются собственные стек-фреймы и при вмешательстве асма за ними никто не следит, следовательно в функции main когда дело дойдет до exit: стек-фрема main'а фактически не существует, он нарушен и настроен, скорее всего, для ф-ции f1().

@Kuzia domovenok · 09.08.2013, 22:15 **[ТС]**

Kastaneda, Спасибо, но я всё-таки решил проблему. Хотя решение довольно узкоспециализированное. Ни о какой расширяемости, универсальности речи не идёт. К тому же ещё и от компилятора зависит.

1) Надо убедиться, что компилируешь в release а не debug
(я это и так пробовал, но потом случайно переключил в debug)
В дебаге компилятор забивает в стек ещё кучу всяких дополнительных регистров помимо просто ebp, тем самым ломая наше представление о том, где какие данные лежат.
2) ВОТ! Работает! Чтобы просто сделать возврат с прыжком через функцию, надо просто очистить стек от данных, вставленных туда при втором вложенном вызове. Выглядит это так.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#include <iostream>
int get6(){
    _asm{
        pop ebp;//выкинуть ebp, вставленный при вызове get6
        pop ebp;//выкинуть адрес возврата в get5
    }
    std::cout<<"return 6 triggered"<<std::endl;
    return 6;//теперь на вершине стека ebp и адрес возврата, сохранённые при вызове get5 
//из main
// и return будет доставать их из стека, думая, что это "адрес возврата в get5"
// но мы ж его выкинули - и теперь на вершине стека аналогичные данные, 
// только для возврата в main
}
int get5(){
    std::cout<<"get6 called"<<std::endl;
    get6();
    std::cout<<"return 5 triggered"<<std::endl;
    return 5;
}
int main(){
    std::cout<<"get5 called"<<std::endl;
    int n=get5();
    std::cout<<"returned "<<n<<std::endl;
    std::cout<<"return from get5 not triggered"<<std::endl;
    return 0;
}

Добавлено через 2 минуты
Естественно это работает только, если компилятор ничего больше в стек не пихал. Например в обеих этих функциях не случайно нет локальных переменных - они бы усложнили дело, будучи тоже в стеке.

Croessmah · 09.08.2013, 22:16

Не по теме:

Kuzia domovenok, А зачем такое понадобилось вообще?

@Kuzia domovenok · 09.08.2013, 22:23 **[ТС]**

Сообщение от Croessmah

Kuzia domovenok, А зачем такое понадобилось вообще?

не боись, не для применения в каких-то программах/проектах. Просто исследую возможности компилятора.

Добавлено через 3 минуты

Сообщение от Kastaneda

goto *ptr;

спасибо, но как я уже сказал. Это исключительно для понимания, что твориться в стеке, какими инструкциями можно попрыгать по функциям вопреки изначальной задумке программы, и можно ли в стеке заменить адреса возврата.

Croessmah · 09.08.2013, 22:25

Не по теме:

Сообщение от Kuzia domovenok

можно ли в стеке заменить адреса возврата.

Можно, особенно этим страдают Cи'шные scanf'ы :D

@castaway · 09.08.2013, 22:53

В GCC можно сделать так:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
#include <iostream>
 
int main()
{
    __asm__ __volatile__ (
        "push   eax ;"
        "ret        ;"
    : : "a" (&&jump_out) );
 
    std::cout << "Hello!\n";
 
jump_out:
    return 0;
}

Убежденный · 09.08.2013, 22:54

Kuzia domovenok, все уже придумано до нас:
_ReturnAddress
_AddressOfReturnAddress

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

Tulosba
	09.08.2013, 16:57
	Не по теме: Где тут C++, Kuzia domovenok? 1

Tulosba
	09.08.2013, 17:24
	Не по теме: Kuzia domovenok, где бы это не собирать, тут по сути асмовый код. И, как мне кажется, полезный ответ быстрее удастся получить в соответствующем разделе. Имхо. 0

Croessmah
	09.08.2013, 22:16
	Не по теме: Kuzia domovenok, А зачем такое понадобилось вообще? 1

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	09.08.2013, 22:54
	Kuzia domovenok, все уже придумано до нас: _ReturnAddress _AddressOfReturnAddress 2