5

阅读有关缓冲区溢出的信息,我遇到了下面给出的示例代码:-

void function(int a, int b, int c) {
char buffer1[5];
char buffer2[10];
}

void main() {
 function(1,2,3);
}

我猜它来自着名的为了乐趣和利润而粉碎堆栈的文章。(参考:http: //insecure.org/stf/smashstack.html

文章说,要为 buffer1 和 buffer2 分配空间,需要 20 个字节(buffer1 为 8 个字节,buffer2 为 12 个字节),因为内存地址只能以字大小的倍数访问(在这种情况下,1 个字 = 4 个字节)。

但我记得内存是字节可寻址的,即我一次可以从内存中访问 1 个字节。我将此与处理器的位数联系起来。例如,32 位处理器可以访问 2^32 个内存位置,并且由于 1 个内存位置保存 1 个字节(8 位),因此 32 位处理器的总可寻址内存等于 (2^32)/(1024*1024*1024) = 4096 MB = 4GB。

既然在上面的例子中,buffer1 和 buffer2 都是 char 类型,假设需要 1 个字节,那么为什么我们不能分别为 buffer1 和 buffer2 分配 5 个字节和 10 个字节呢?

为什么内存访问限制为字长的倍数?

4

1 回答 1

3

第一件事 -内存访问不限于字长。

正如您所指出的,您可以自由地以各自 CPU 支持的最精细粒度访问内存 - 在大多数情况下,这将是字节。

但是对于 C 中的局部变量,对齐规则有点具体。
整个字访问限制与函数 locals 放置在所谓的stack上的事实有关。

堆栈由 CPU 提供,用于临时存储和检索内存中的寄存器值,每个程序都有自己的内存用作堆栈空间。这是很常见的/在某些情况下需要以您的 CPU 使用的寄存器大小访问堆栈,这样您就不会意外地破坏 CPU 使用的推送/弹出访问。在 32 位系统上,每个寄存器的访问大小为4 字节,对于 64 位,它的 8 字节。

因此,在您的示例中,函数的堆栈在 Intel CPU 上可能看起来像这样(取决于操作系统)

|---   function's stack bottom  ---|
| 4 byte Code-Segment index        |
| 4 byte return address            |
| 4 byte buffer1[0..3]             |
| 1 byte buffer1[4],    3 byte pad |
| 4 byte buffer2[0..3]             |
| 4 byte buffer2[4..7]             |
| 2 byte buffer2[8..9], 2 byte pad |
|---   function's stack top     ---|

填充字节是必需的,这样当您的程序运行并从函数内部使用堆栈时,它仍然会正确对齐(相信我它会经常使用它;))。

例如,推送/弹出仍然会导致 4 字节对齐的地址。

请记住:此对齐规则仅适用于堆栈空间 - 全局或静态变量可以位于奇数内存位置(不太可能,但可能)

我希望这不是技术人员/低级人员。

[编辑]
如果您考虑以下事项,则此处与缓冲区溢出的关系变得清晰:如果您知道内存和堆栈布局,则可以操作诸如return address之类的东西。正如您通过缓冲区溢出/下溢看到的那样,您可以轻松更改堆栈上位于它们上方/下方的值。
在大多数情况下,这会使您的代码崩溃,但如果执行得当,您还可以将一些可执行代码放在堆栈/内存中的某个位置,并更改函数的返回地址以跳转到该代码而不是返回到调用它的位置。

于 2013-05-23T12:24:59.760 回答