汇编中保留的堆栈空间似乎与 c 代码不匹配答案

【问题标题】：Reserved stack space in assembly doesn' t seem to match the c code汇编中保留的堆栈空间似乎与 c 代码不匹配
【发布时间】：2014-04-15 15:36:07
【问题描述】：

我有以下代码示例：

int main(int argc, char **argv) {
    char *name[2];
    name[0] = "/bin/sh";
    name[1] = NULL;
    execve(name[0], name, NULL);
    exit(0);
}

反汇编程序会导致类似于：

1.  0x08048250 <main+0>: push %ebp
2.  0x08048251 <main+1>: mov %esp,%ebp
3.  0x08048253 <main+3>: and $0xfffffff0,%esp
4.  0x08048256 <main+6>: sub $0x20,%esp
5.  0x08048259 <main+9>: movl $0x80a6f68,0x18(%esp)
6.  0x08048261 <main+17>: movl $0x0,0x1c(%esp)
7.  0x08048269 <main+25>: mov 0x18(%esp),%eax
8.  0x0804826d <main+29>: movl $0x0,0x8(%esp)
9.  0x08048275 <main+37>: lea 0x18(%esp),%edx
10. 0x08048279 <main+41>: mov %edx,0x4(%esp)
11. 0x0804827d <main+45>: mov %eax,(%esp)
12. 0x08048280 <main+48>: call 0x804f5c0 <execve>
13. 0x08048285 <main+53>: movl $0x0,(%esp)
14. 0x0804828c <main+60>: call 0x8048af0 <exit>

我正在尝试理解程序集：

在第 4 行，堆栈指针被减少为局部变量分配空间，但我不明白为什么它保留 32 字节（0x20=32 字节）？据我了解，它应该只需要分配：

指针“名称”的 4 个字节
8 字节的字符串“/bin/sh”；
NULL 是否也占用空间？如果是这样，它相当于 4 个字节的 0x0 对吗？
argc 和 argv 不是这个堆栈帧的一部分，对吧？它们由主调用者推送，因此不需要在此堆栈帧中保留。

我还看到一些数据存储在堆栈指针的偏移处，但似乎并未使用所有空间。

有人可以解释一下这个组件吗？我在将 c 代码映射到给定的汇编指令时遇到了麻烦。尤其是保留空间的长度似乎与 c 代码不匹配。

我特别感兴趣：

第 3 行：这是干什么用的？
第 9 行：这是做什么的？
第 11 行和第 13 行：(%esp) 语法是什么意思？

谢谢！

【问题讨论】：

main 参数也必须传递
相关阅读：stackoverflow.com/questions/9862017/… 和一个很好的 AT&T 汇编语法参考/教程。
不要反汇编，使用gcc -S

标签： c memory-management assembly x86 stack

【解决方案1】：

关于“它应该只需要分配”：

“指针名称的 4 个字节” - 不完全是。 name 是一个由两个指针组成的数组，因此 2*4 = 8 个字节（假设您使用的是 32 位指针，这就是它的样子）。
“字符串“/bin/sh”的 8 个字节 - 这不会在堆栈上。它将在二进制文件的其他位置（可能是 .rodata 段，即只读数据），所以不占用任何堆栈空间。
“NULL 是否也占用空间？” - NULL 是（可能，除非你有一个反常的 C 编译器）值 0。“值”本身不能占用堆栈空间，但如果堆栈上有一个值为 NULL 的变量，那么你会发现零堆栈。
“argc 和 argv [etc]” - 这些可以说是此函数调用的堆栈帧的一部分，但由调用者初始化，因此不会通过减少 %esp 来保留。

“似乎没有使用所有空间” - 由于对齐，通常是正确的。考虑：

struct {
    char ch;
    int *ptr;
};

对于这种结构情况，我们将有一个 1 字节的 char，然后是 3 个字节的填充以正确对齐 ptr，然后是 4 个字节的 ptr。（如果指针是 64 位，则填充 7 个字节。）如果我们在堆栈上分配这些结构之一，那么我们将有 3 个（或 7 个）“未使用”堆栈字节。

但是，在这种情况下，编译器在堆栈上为初始“sub ... %esp”指令中的 execve() 调用的参数创建空间，这是一个轻微的优化。

第 3 行：对齐：在 16 字节边界上对齐 %esp。（应该对任何人都足够了。）第 4 行：创建一些堆栈空间。其中一些是局部变量；编译器将函数调用放在一起时，它的一些其他字节被用作暂存空间。

第 9 行：这（有效地）将字符串“/bin/sh”放入 %edx。该字符串的地址位于二进制文件中的位置 0x80a6f68（将是加载 .rodata 的位置）。第 5 行将值 0x80a6f68 放入 (%esp + 0x18)。第 9 行将 *(%esp + 0x18)，即 *(char **)0x80a6f68，放入 %edx。

第 11 行：(%esp) 实际上是指针引用：*esp = eax。它将 eax 寄存器的值放入 *esp，即堆栈指针正上方的四个字节。 eax 的值在第 7 行定义。

第 13 行：这将 *esp 设置为 0x00000000。由于我们随后调用了 exit()，这会将 exit 的第一个参数（即 *esp）设置为 0。

【讨论】：

【解决方案2】：

name 是一个包含 2 个指针的数组。这将占用 8 或 16 个字节，具体取决于您的平台是 32 位还是 64 位。

字符串/bin/sh根本不在堆上，而是在初始化的数据段中；为了完整性，\0 确实需要空间。

argc 和 argv 将作为参数传递到堆栈中。

第 3 行将堆栈指针对齐为 16 字节的倍数

第 19 行实际上是说'让 edx 成为 0x18 加上 esp 的值'； lea是'加载有效地址'；把它想象成mov，但它不是执行内存加载，而是返回它本来会加载内存的地址。

在第 11 行和第 13 行，(esp) 表示esp 指向的位置的内容。

我承认我的汇编器有点生锈了。

【讨论】：