這篇文章主要介紹了淺析C語言編程中的數(shù)組越界問題,通過內(nèi)存空間來討論其導致的程序崩潰問題,需要的朋友可以參考下
因為C語言不檢查數(shù)組越界��,而數(shù)組又是我們經(jīng)常用的數(shù)據(jù)結(jié)構(gòu)之一�����,所以程序中經(jīng)常會遇到數(shù)組越界的情況�����,并且后果輕者讀寫數(shù)據(jù)不對��,重者程序crash����。下面我們來分析一下數(shù)組越界的情況:
1) 堆中的數(shù)組越界
因為堆是我們自己分配的�����,如果越界����,那么會把堆中其他空間的數(shù)據(jù)給寫掉�����,或讀取了其他空間的數(shù)據(jù),這樣就會導致其他變量的數(shù)據(jù)變得不對�����,如果是一個指針的話���,那么有可能會引起crash
2) 棧中的數(shù)組越界
因為棧是向下增長的��,在進入一個函數(shù)之前��,會先把參數(shù)和下一步要執(zhí)行的指令地址(通過call實現(xiàn))壓棧����,在函數(shù)的入口會把ebp壓棧����,并把esp賦值給ebp,在函數(shù)返回的時候�����,將ebp值賦給esp�����,pop先前棧內(nèi)的上級函數(shù)棧的基地址給ebp�,恢復原?�;?����,然后把調(diào)用函數(shù)之前的壓入棧的指令地址pop出來(通過ret實現(xiàn))�。
棧是由高往低增長的�,而數(shù)組的存儲是由低位往高位存的 ,如果越界的話�,會把當前函數(shù)的ebp和下一跳的指令地址覆蓋掉�,如果覆蓋了當前函數(shù)的ebp,那么在恢復的時候esp就不能指向正確的地方�,從而導致未可知的情況�����,如果下一跳的地址也被覆蓋掉�����,那么肯定會導致crash��。
-------------------------
壓入的參數(shù)和函數(shù)指針
-------------------------
aa[4]
aa[3]
合法的數(shù)組空間 aa[2]
aa[1]
aa[0]
-------------------------
###sta.c###
- #include <stdio.h>
-
- void f(int ai)
- {
- int aa[5]={1,2,3};
- int i = 1;
- for (i=0;i<10;i++)
- aa[i]=i;
- printf("f()/n");
- }
-
- void main()
- {
- f(3);
- printf("ok/n");
- }
-
-
-
-
-
- ###sta.s###
-
- .file "sta.c" ;說明匯編的源程序
- .section .rodata ;說明以下是只讀數(shù)據(jù)區(qū)
- .LC0:
- .string "f()" ;"f()" 的類型是string,地址為LC0
- .text ;代碼段開始
- .globl f ;f為全局可訪問
- .type f, @function ; f是函數(shù)
- f:
- pushl %ebp
- movl %esp, %ebp
- subl $40, %esp
- movl $0, -24(%ebp)
- movl $0, -20(%ebp)
- movl $0, -16(%ebp)
- movl $0, -12(%ebp)
- movl $0, -8(%ebp)
- movl $1, -24(%ebp)
- movl $2, -20(%ebp)
- movl $3, -16(%ebp)
- movl $1, -4(%ebp)
- movl $0, -4(%ebp)
- jmp .L2
- .L3:
- movl -4(%ebp), %edx
- movl -4(%ebp), %eax
- movl %eax, -24(%ebp,%edx,4)
- addl $1, -4(%ebp)
- .L2:
- cmpl $9, -4(%ebp)
- jle .L3
- movl $.LC0, (%esp)
- call puts
- leave
- ret
- .size f, .-f ;用以計算函數(shù)f的大小
- .section .rodata
- .LC1:
- .string "ok"
- .text
- .globl main
- .type main, @function
- main:
- leal 4(%esp), %ecx
- andl $-16, %esp
- pushl -4(%ecx)
- pushl %ebp
- movl %esp, %ebp
- pushl %ecx
- subl $4, %esp
- movl $3, (%esp)
- call f
- movl $.LC1, (%esp)
- call puts
- addl $4, %esp
- popl %ecx
- popl %ebp
- leal -4(%ecx), %esp
- ret
- .size main, .-main
- .ident "GCC: (GNU) 4.1.2 20070115 (SUSE Linux)" ;說明是用什么工具編譯的
- .section .note.GNU-stack,"",@progbits
從main函數(shù)開始壓入f函數(shù)的參數(shù)開始,堆棧的調(diào)用情況如下
圖1 壓入?yún)?shù)
圖二 通過call 命令壓入下一跳地址 IP
圖三 函數(shù)f 通過pushl %ebp 把 ebp保存起來
圖四 函數(shù) f 通過movl %esp, %ebp讓ebp指向esp�,這樣esp就可以進行修改,在函數(shù)返回的時候用ebp的值對esp進行恢復
圖五 函數(shù) f 通過subl $40, %esp 給函數(shù)的局部變量預留空間
圖六 int數(shù)組 aa[5]占用了20個字節(jié)的空間����,然后 int i占用了4個字節(jié)的空間(緊鄰著之前壓入棧的%ebp)
故����,如果aa[5]進行賦值����,則會把 i 的值覆蓋掉��,
如果對aa[6]進行賦值����,則會把 棧中的 %ebp 覆蓋掉,那么在函數(shù) f 返回的時候則不能對ebp進行恢復�����,即main函數(shù)的ebp變成了我們覆蓋掉的值����,程序不知道會發(fā)生什么事情,但因為我們的程序接下來沒有調(diào)用棧中的內(nèi)容��,故還是可以運行的��。
如果對aa[7]進行賦值,則會把棧中的 %IP 覆蓋掉�,在函數(shù) f 返回的時候就不能正確地找到下一跳的地址,會crash;
