1

我写了一个如下的函数:

void inject_func()
{
    _asm
    {
        push 2
        push 1
        mov eax, 0x0041188E
        call eax
    }
}

在调试模式下编译时,我得到:

00F43330 > 55               PUSH EBP
00F43331   8BEC             MOV EBP,ESP
00F43333   81EC C0000000    SUB ESP,0C0
00F43339   53               PUSH EBX
00F4333A   56               PUSH ESI
00F4333B   57               PUSH EDI
00F4333C   8DBD 40FFFFFF    LEA EDI,DWORD PTR SS:[EBP-C0]
00F43342   B9 30000000      MOV ECX,30
00F43347   B8 CCCCCCCC      MOV EAX,CCCCCCCC
00F4334C   F3:AB            REP STOS DWORD PTR ES:[EDI]
00F4334E   6A 02            PUSH 2
00F43350   6A 01            PUSH 1
00F43352   B8 8E184100      MOV EAX,41188E
00F43357   FFD0             CALL EAX
00F43359   5F               POP EDI
00F4335A   5E               POP ESI
00F4335B   5B               POP EBX
00F4335C   81C4 C0000000    ADD ESP,0C0
00F43362   3BEC             CMP EBP,ESP
00F43364   E8 8CE2FFFF      CALL inject_c.00F415F5
00F43369   8BE5             MOV ESP,EBP
00F4336B   5D               POP EBP
00F4336C   C3               RETN

在发布模式下,我得到:这就是我想要的。

00EA17A0 > . 6A 02          PUSH 2
00EA17A2   . 6A 01          PUSH 1
00EA17A4   . B8 8E184100    MOV EAX,41188E
00EA17A9   . FFD0           CALL EAX
00EA17AB   . C3             RETN

我知道VS2010添加了一些调试信息,我想问的是它添加了什么。我在谷歌上搜索过,但没有任何相关信息,可能是关键字不正确。有人知道吗?

4

1 回答 1

3

它是编译器实现的安全检查的一部分。

通过用已知值填充堆栈,系统可以检测到一些覆盖。如果您不希望这样,您可以通过删除该/RTCs选项将其关闭。

于 2013-03-02T11:56:46.210 回答