zoukankan      html  css  js  c++  java
  • Windows中进程的内存结构

     基础知识:堆栈是一种简单的数据结构,是一种只允许在其一端进行插入或删除的线性表。允许插入或删除操作的一端称为栈顶,另一端称为栈底,对堆栈的插入和删除操作被称为入栈和出栈。有一组CPU指令可以实现对进程的内存实现堆栈访问。其中,POP指令实现出栈操作,PUSH指令实现入栈操作。CPU的ESP寄存器存放当前线程的栈顶指针,EBP寄存器中保存当前线程的栈底指针。CPU的EIP寄存器存放下一个CPU指令存放的内存地址,当CPU执行完当前的指令后,从EIP寄存器中读取下一条指令的内存地址,然后继续执行。

            接触过编程的人都知道,高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢?程序又是如何使用这些变量的呢?下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明,默认都使用VC编译的release版。 
            首先,来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local),静态变量(Static)、寄存器变量(Register)。每种变量都有不同的分配方式。先来看下面这段代码:
    #include <stdio.h> 
    int g1=0, g2=0, g3=0; 
    int main() 

    static int s1=0, s2=0, s3=0; 
    int v1=0, v2=0, v3=0; 
    //打印出各个变量的内存地址 
    printf("0x%08x\n",&v1); //打印各本地变量的内存地址 
    printf("0x%08x\n",&v2); 
    printf("0x%08x\n\n",&v3); 
    printf("0x%08x\n",&g1); //打印各全局变量的内存地址 
    printf("0x%08x\n",&g2); 
    printf("0x%08x\n\n",&g3); 
    printf("0x%08x\n",&s1); //打印各静态变量的内存地址 
    printf("0x%08x\n",&s2); 
    printf("0x%08x\n\n",&s3); 
    return 0; 

    编译后的执行结果是: 
    0x0012ff78 
    0x0012ff7c 
    0x0012ff80 
    (在BC++/TC++中结果是
    0x0012ff88 
    0x0012ff84 
    0x0012ff80 
    这样,这就说明在BC++/TC++中变量地址是倒序存放的。
    而在Turbo C 2.0中,变量的存放是顺序的,也就是和VC++相同。它的输出结果类似于
    0x0012ffdc 
    0x0012ffde 
    0x0012ffe0 
    注:Turbo C++ 3.x及以前的版本,包括TC2.0中,int型占两个字节。以后的版本,比如BC++ 5.x是四个字节。


    0x004068d0 
    0x004068d4 
    0x004068d8 
    0x004068dc 
    0x004068e0 
    0x004068e4 
    (对于全局变量和静态变量,三种编译器的存放顺序都一样。是顺序的。而且全局和静态变量是放在同一块区域,表面上看就是说他们是连续存放的。)
            输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量(自动变量),g1,g2,g3是全局变量,s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的,但是本地变量和全局变量分配的内存地址差了十万八千里,而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言,可以在逻辑上分成3个部份:代码区,静态数据区和动态数据区。动态数据区一般就是“堆栈”。“栈(stack)”和“堆(heap)”是两种不同的动态数据区,栈是一种线性结构,堆是一种链式结构。进程的每个线程都有私有的“栈”,所以每个线程虽然代码一样,但本地变量的数据都是互不干扰。一个堆栈可以通过“基地址”和“栈顶”地址来描述。全局变量和静态变量分配在静态数据区,本地变量分配在动态数据区,即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。 
    ├————————————┤低端内存区域(低地址) 
    │ ……                            │ 
    ├————————————┤ 
    │ 动态数据区                   │ 
    ├————————————┤ 
    │ ……                            │ 
    ├————————————┤ 
    │ 代码区                    │ 
    ├————————————┤ 
    │ 静态数据区                   │ 
    ├————————————┤ 
    │ ……                            │ 
    ├————————————┤高端内存区域(高地址) 
    (补注:对于基于Intel x86架构的计算机,系统采用小端字节序来存放数据,所谓小端字节序是指低序字节低地址,高序字节高地址(内存地址增大方向),大端字节序反之,给定系统所用的字节序称为主机字节序;CPU也以小端字节序形式读取数据。)


            堆栈是一个先进后出的数据结构,栈顶地址总是小于等于栈的基地址(栈是倒着长的)。我们可以先了解一下函数调用的过程,以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定,这些因素有参数的压入规则和堆栈的平衡。Windows API的调用规则和ANSI C的函数调用规则是不一样的,前者由被调函数调整堆栈,后者由调用者调整堆栈。两者通过“__stdcall”和“__cdecl”前缀区分。先看下面这段代码: 
    #i nclude <stdio.h> 
    void __stdcall func(int param1,int param2,int param3) 

    int var1=param1; 
    int var2=param2; 
    int var3=param3; 
    printf("0x%08x\n",&param1); //打印出各个变量的内存地址 
    printf("0x%08x\n",&param2); 
    printf("0x%08x\n\n",&param3); 
    printf("0x%08x\n",&var1); 
    printf("0x%08x\n",&var2); 
    printf("0x%08x\n\n",&var3); 
    return; 

    int main() 

    func(1,2,3); 
    return 0; 

    编译后的执行结果是: 
    0x0012ff78 
    0x0012ff7c 
    0x0012ff80 
    0x0012ff68 
    0x0012ff6c 
    0x0012ff70 
    ├—————————————┤<—函数执行时的栈顶(ESP)、低端内存区域(低地址)
    │ ……                               │ 
    ├—————————————┤ 
    │ var 1                            │ 
    ├—————————————┤ 
    │ var 2                            │ 
    ├—————————————┤ 
    │ var 3                            │ 
    ├—————————————┤ 
    │ RET                              │ 
    ├—————————————┤<—“__cdecl”函数返回后的栈顶(ESP) 
    │ parameter 1                  │ 
    ├—————————————┤ 
    │ parameter 2                  │ 
    ├—————————————┤ 
    │ parameter 3                  │ 
    ├—————————————┤<—“__stdcall”函数返回后的栈顶(ESP) 
    │ ……                               │ 
    ├—————————————┤<—栈底(基地址 EBP)、高端内存区域(高地址)
            上图就是函数调用过程中堆栈的样子了。首先,三个参数以从右到左的次序压入堆栈,先压“param3”,再压“param2”,最后压入“param1”(在BC++/TC++则是顺序压栈,情况刚好相反,刚才地址上的倒序就是由此造成的);然后压入函数的返回地址(RET),接着跳转到函数地址接着执行(这里要补充一点,介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后,继续压入当前EBP,然后用当前ESP代替EBP。然而,有一篇介绍Windows下函数调用的文章中说,在Windows下的函数调用也有这一步骤,但根据我的实际调试,并未发现这一步,这还可以从param3和var1之间只有4字节的间隙这点看出来);第三步,将栈顶(ESP)减去一个数,为本地变量分配内存空间,上例中是减去12字节(ESP=ESP-3*4,每个int变量占用4个字节,对于较新的编译器来说);接着就初始化本地变量的内存空间。然后执行函数体。由于“__stdcall”调用由被调函数调整堆栈,所以在函数返回前要恢复堆栈,先回收本地变量占用的内存(ESP=ESP+3*4),然后取出返回地址,填入EIP寄存器,再回收参数占用的内存(ESP=ESP+3*4),继续执行调用者的代码。参见下列汇编代码: 
    ;--------------func 函数的汇编代码------------------- 
    :00401000 83EC0C sub esp, 0000000C //创建本地变量的内存空间 
    :00401003 8B442410 mov eax, dword ptr [esp+10] 
    :00401007 8B4C2414 mov ecx, dword ptr [esp+14] 
    :0040100B 8B542418 mov edx, dword ptr [esp+18] 
    :0040100F 89442400 mov dword ptr [esp], eax 
    :00401013 8D442410 lea eax, dword ptr [esp+10] 
    :00401017 894C2404 mov dword ptr [esp+04], ecx 
    ……………………(省略若干代码) 
    :00401075 83C43C add esp, 0000003C ;恢复堆栈,回收本地变量的内存空间 
    :00401078 C3 ret 000C ;函数返回,恢复参数占用的内存空间 
    ;如果是“__cdecl”的话,这里是“ret”,堆栈将由调用者恢复 
    ;-------------------函数结束------------------------- 
    ;--------------主程序调用func函数的代码-------------- 
    :00401080 6A03 push 00000003 //压入参数param3 
    :00401082 6A02 push 00000002 //压入参数param2 
    :00401084 6A01 push 00000001 //压入参数param1 
    :00401086 E875FFFFFF call 00401000 //调用func函数 
    ;如果是“__cdecl”的话,将在这里恢复堆栈,“add esp, 0000000C” 
            聪明的读者看到这里,差不多就明白缓冲溢出的原理了。先来看下面的代码: 
    #i nclude <stdio.h> 
    #i nclude <string.h> 
    void __stdcall func() 

    char lpBuff[8]="\0"; 
    strcat(lpBuff,"AAAAAAAAAAA"); 
    return; 

    int main() 

    func(); 
    return 0; 

            编译后执行一下回怎么样?哈,“"0x00414141"指令引用的"0x00000000"内存。该内存不能为"read"。”,“非法操作”喽!"41"就是"A"的16进制的ASCII码了,那明显就是strcat这句出的问题了。"lpBuff"的大小只有8字节,算进结尾的'\0',那strcat最多只能写入7个"A",但程序实际写入了11个"A"外加1个'\0'。再来看看上面那幅图,多出来的4个字节正好覆盖了RET的所在的内存空间,导致函数返回到一个错误的内存地址,执行了错误的指令。如果能精心构造这个字符串,使它分成三部分,前一部份仅仅是填充的无意义数据以达到溢出的目的,接着是一个覆盖RET的数据,紧接着是一段shellcode,那只要着个RET地址能指向这段shellcode的第一个指令,那函数返回时就能执行shellcode了。但是软件的不同版本和不同的运行环境都可能影响这段shellcode在内存中的位置,那么要构造这个RET是十分困难的。一般都在RET和shellcode之间填充大量的NOP指令,使得exploit有更强的通用性。 
    ├———————————┤<—低端内存区域 
    │ ……        │ 
    ├———————————┤<—由exploit填入数据的开始 
    │           │ 
    │ buffer    │<—填入无用的数据 
    │           │ 
    ├———————————┤ 
    │ RET       │<—指向shellcode,或NOP指令的范围 
    ├———————————┤ 
    │ NOP       │ 
    │ ……        │<—填入的NOP指令,是RET可指向的范围 
    │ NOP       │ 
    ├———————————┤ 
    │           │ 
    │ shellcode │ 
    │           │ 
    ├———————————┤<—由exploit填入数据的结束 
    │ ……        │ 
    ├———————————┤<—高端内存区域 
            Windows下的动态数据除了可存放在栈中,还可以存放在堆中。了解C++的朋友都知道,C++可以使用new关键字来动态分配内存。来看下面的C++代码: 
    #i nclude <stdio.h> 
    #i nclude <iostream.h> 
    #i nclude <windows.h> 
    void func() 

    char *buffer=new char[128]; 
    char bufflocal[128]; 
    static char buffstatic[128]; 
    printf("0x%08x\n",buffer); //打印堆中变量的内存地址 
    printf("0x%08x\n",bufflocal); //打印本地变量的内存地址 
    printf("0x%08x\n",buffstatic); //打印静态变量的内存地址 

    void main() 

    func(); 
    return; 

    程序执行结果为: 
    0x004107d0 
    0x0012ff04 
    0x004068c0 
            可以发现用new关键字分配的内存即不在栈中,也不在静态数据区。VC编译器是通过Windows下的“堆(heap)”来实现new关键字的内存动态分配。在讲“堆”之前,先来了解一下和“堆”有关的几个API函数: 
    HeapAlloc 在堆中申请内存空间 
    HeapCreate 创建一个新的堆对象 
    HeapDestroy 销毁一个堆对象 
    HeapFree 释放申请的内存 
    HeapWalk 枚举堆对象的所有内存块 
    GetProcessHeap 取得进程的默认堆对象 
    GetProcessHeaps 取得进程所有的堆对象 
    LocalAlloc 
    GlobalAlloc 
            当进程初始化时,系统会自动为进程创建一个默认堆,这个堆默认所占内存的大小为1M。堆对象由系统进行管理,它在内存中以链式结构存在。通过下面的代码可以通过堆动态申请内存空间: 
    HANDLE hHeap=GetProcessHeap(); 
    char *buff=HeapAlloc(hHeap,0,8); 
            其中hHeap是堆对象的句柄,buff是指向申请的内存空间的地址。那这个hHeap究竟是什么呢?它的值有什么意义吗?看看下面这段代码吧: 
    #pragma comment(linker,"/entry:main") //定义程序的入口 
    #i nclude <windows.h> 
    _CRTIMP int (__cdecl *printf)(const char *, ...); //定义STL函数printf 
    /*--------------------------------------------------------------------------- 
            写到这里,我们顺便来复习一下前面所讲的知识: 
            (*注)printf函数是C语言的标准函数库中函数,VC的标准函数库由msvcrt.dll模块实现。 
            由函数定义可见,printf的参数个数是可变的,函数内部无法预先知道调用者压入的参数个数,函数只能通过分析第一个参数字符串的格式来获得压入参数的信息,由于这里参数的个数是动态的,所以必须由调用者来平衡堆栈,这里便使用了__cdecl调用规则。BTW,Windows系统的API函数基本上是__stdcall调用形式,只有一个API例外,那就是wsprintf,它使用__cdecl调用规则,同printf函数一样,这是由于它的参数个数是可变的缘故。 
    ---------------------------------------------------------------------------*/ 
    void main() 

    HANDLE hHeap=GetProcessHeap(); 
    char *buff=HeapAlloc(hHeap,0,0x10); 
    char *buff2=HeapAlloc(hHeap,0,0x10); 
    HMODULE hMsvcrt=LoadLibrary("msvcrt.dll"); 
    printf=(void *)GetProcAddress(hMsvcrt,"printf"); 
    printf("0x%08x\n",hHeap); 
    printf("0x%08x\n",buff); 
    printf("0x%08x\n\n",buff2); 

    执行结果为: 
    0x00130000 
    0x00133100 
    0x00133118 
            hHeap的值怎么和那个buff的值那么接近呢?其实hHeap这个句柄就是指向HEAP首部的地址。在进程的用户区存着一个叫PEB(进程环境块)的结构,这个结构中存放着一些有关进程的重要信息,其中在PEB首地址偏移0x18处存放的ProcessHeap就是进程默认堆的地址,而偏移0x90处存放了指向进程所有堆的地址列表的指针。windows有很多API都使用进程的默认堆来存放动态数据,如Windows 2000下的所有ANSI版本的函数都是在默认堆中申请内存来转换ANSI字符串到Unicode字符串的。对一个堆的访问是顺序进行的,同一时刻只能有一个线程访问堆中的数据,当多个线程同时有访问要求时,只能排队等待,这样便造成程序执行效率下降。 
            最后来说说内存中的数据对齐。所谓数据对齐,是指数据所在的内存地址必须是该数据长度的整数倍,DWORD数据的内存起始地址能被4除尽,WORD数据的内存起始地址能被2除尽,BYTE数据占用一个字节,因此对内存起始地址没有特殊要求。x86 CPU能直接访问对齐的数据,当他试图访问一个未对齐的数据时,会在内部进行一系列的调整,这些调整对于程序来说是透明的,但是会降低运行速度,所以编译器在编译程序时会尽量保证数据对齐。同样一段代码,我们来看看用VC、Dev-C++和lcc三个不同编译器编译出来的程序的执行结果: 
    #i nclude <stdio.h> 
    int main() 

    int a; 
    char b; 
    int c; 
    printf("0x%08x\n",&a); 
    printf("0x%08x\n",&b); 
    printf("0x%08x\n",&c); 
    return 0; 

    这是用VC编译后的执行结果: 
    0x0012ff7c 
    0x0012ff7b 
    0x0012ff80 
    变量在内存中的顺序:b(1字节)-a(4字节)-c(4字节)。 
    这是用Dev-C++编译后的执行结果: 
    0x0022ff7c 
    0x0022ff7b 
    0x0022ff74 
    变量在内存中的顺序:c(4字节)-中间相隔3字节-b(占1字节)-a(4字节)。 
    这是用lcc编译后的执行结果: 
    0x0012ff6c 
    0x0012ff6b 
    0x0012ff64 
    变量在内存中的顺序:同上。 
            三个编译器都做到了数据对齐,但是后两个编译器显然没VC“聪明”,让一个char占了4字节,浪费内存哦。
            在<windef.h>中有这样的代码:
    typedef unsigned char BYTE;
    typedef unsigned long DWORD;
    typedef unsigned short WORD;
            对于字符数组,有的编译器统一用WORD来存储,可能会导致浪费内存,但效率较高(如TC2.0和TC++3.0,针对16位处理器);有的采用DWORD来存储,同样浪费内存;有的则采用BYTE,但可能会导致浪费时间(因为数据不一定对齐,如BC++5.0)。

  • 相关阅读:
    肯德基也会出这档子事?
    全球华人大签名反对日本成为安理会常任理事国
    Google "invasion" into our desktop
    你真的认真考虑过周期性的构建工作的对于项目成功重要性吗?
    [Eclipse笔记]Give TestNG a try in Eclipse.
    .NET, 想说爱你不容易
    [Eclipse笔记]Just for fun – 在Eclipse下编译和运行C#的代码
    面试注意事项
    名字隐藏深入研究what's in class (什么“类”的“接口”/一部分)
    Catalan数——卡特兰数
  • 原文地址:https://www.cnblogs.com/yewei/p/2940472.html
Copyright © 2011-2022 走看看