windows内存结构:windows进程中的内存结构疯狂代码！

接触过编程

人都知道

高级语言都能通过变量名来访问内存中

数据

那么这些变量在内存中是如何存放

呢？

又是如何使用这些变量

呢？下面就会对此进行深入

讨论

下文中

C语言代码如没有特别声明

默认都使用VC编译

release版

首先

来了解

下 C 语言

变量是如何在内存分部

C 语言有全局变量(Global)、本地变量(Local)

静态变量(Static)、寄存器变量(Regeister)

每种变量都有区别

分配方式

先来看下面这段代码:

#

<stdio.h>

g1=0, g2=0, g3=0;

{

s1=0, s2=0, s3=0;

v1=0, v2=0, v3=0;

//打印出各个变量

内存地址

pr

f("0x%08x\n",&v1); //打印各本地变量

内存地址
pr

f("0x%08x\n",&v2);
pr

f("0x%08x\n\n",&v3);
pr

f("0x%08x\n",&g1); //打印各全局变量

内存地址
pr

f("0x%08x\n",&g2);
pr

f("0x%08x\n\n",&g3);
pr

f("0x%08x\n",&s1); //打印各静态变量

内存地址
pr

f("0x%08x\n",&s2);
pr

f("0x%08x\n\n",&s3);

0;
}

编译后

执行结果是:

0x0012ff78
0x0012ff7c
0x0012ff80

0x004068d0
0x004068d4
0x004068d8

0x004068dc
0x004068e0
0x004068e4

输出

结果就是变量

内存地址

其中v1,v2,v3是本地变量

g1,g2,g3是全局变量

s1,s2,s3是静态变量

你可以看到这些变量在内存是连续分布

但是本地变量和全局变量分配

内存地址差了十万 8千里

而全局变量和静态变量分配

内存是连续

这是

本地变量和全局/静态变量是分配在区别类型

内存区域中

结果

对于

个进程

内存空间而言

可以在逻辑上分成3个部份:代码区

静态数据区和动态数据区

动态数据区

般就是“堆栈”

“栈(stack)”和“堆(heap)”是两种区别

动态数据区

栈是

种线性结构

堆是

种链式结构

进程

每个线程都有私有

“栈”

所以每个线程虽然代码

样

但本地变量

数据都是互不干扰

个堆栈可以通过“基地址”和“栈顶”地址来描述

全局变量和静态变量分配在静态数据区

本地变量分配在动态数据区

即堆栈中

通过堆栈

基地址和偏移量来访问本地变量

├———————┤低端内存区域
│ …… │
├———————┤
│ 动态数据区 │
├———————┤
│ …… │
├———————┤
│ 代码区 │
├———————┤
│ 静态数据区 │
├———————┤
│ …… │
├———————┤高端内存区域

堆栈是

个先进后出

数据结构

栈顶地址总是小于等于栈

基地址

我们可以先了解

下

过程

以便对堆栈在

中

作用有更深入

了解

区别

语言有区别

规定

这些原因有参数

压入规则和堆栈

平衡

windows API

规则和ANSI C

规则是不

样

前者由被调

调整堆栈

后者由

者调整堆栈

两者通过“__stdcall”和“__cdecl”前缀区分

先看下面这段代码:

#

<stdio.h>

void __stdcall func(

param1,

param2,

param3)
{

var1=param1;

var2=param2;

var3=param3;
pr

f("0x%08x\n",¶m1); //打印出各个变量

内存地址
pr

f("0x%08x\n",¶m2);
pr

f("0x%08x\n\n",¶m3);
pr

f("0x%08x\n",&var1);
pr

f("0x%08x\n",&var2);
pr

f("0x%08x\n\n",&var3);

;
}

{
func(1,2,3);

0;
}

编译后

执行结果是:

0x0012ff78
0x0012ff7c
0x0012ff80

0x0012ff68
0x0012ff6c
0x0012ff70

├———————┤<—

执行时

栈顶(ESP)、低端内存区域
│ …… │
├———————┤
│ var 1 │
├———————┤
│ var 2 │
├———————┤
│ var 3 │
├———————┤
│ RET │
├———————┤<—“__cdecl”

返回后

栈顶(ESP)
│ parameter 1 │
├———————┤
│ parameter 2 │
├———————┤
│ parameter 3 │
├———————┤<—“__stdcall”

返回后

栈顶(ESP)
│ …… │
├———————┤<—栈底(基地址 EBP)、高端内存区域

上图就是

过程中堆栈

样子了

首先

3个参数以从又到左

次序压入堆栈

先压“param3”

再压“param2”

最后压入“param1”；然后压入

返回地址(RET)

接着跳转到

地址接着执行(这里要补充

点

介绍UNIX下

缓冲溢出原理

文章中都提到在压入RET后

继续压入当前EBP

然后用当前ESP代替EBP

然而

有

篇介绍windows下

文章中说

在windows下

也有这

步骤

但根据我

实际调试

并未发现这

步

这还可以从param3和var1的间只有4字节

间隙这点看出来)；第 3步

将栈顶(ESP)减去

个数

为本地变量分配内存空间

上例中是减去12字节(ESP=ESP-3*4

每个

变量占用4个字节)；接着就

化本地变量

内存空间

由于“__stdcall”

由被调

调整堆栈

所以在

返回前要恢复堆栈

先回收本地变量占用

内存(ESP=ESP+3*4)

然后取出返回地址

填入EIP寄存器

回收先前压入参数占用

内存(ESP=ESP+3*4)

继续执行

者

代码

参见下列汇编代码:

;--------------func

汇编代码-------------------

:00401000 83EC0C sub esp, 0000000C //创建本地变量

内存空间
:00401003 8B442410 mov eax, dword ptr [esp+10]
:00401007 8B4C2414 mov ecx, dword ptr [esp+14]
:0040100B 8B542418 mov edx, dword ptr [esp+18]
:0040100F 89442400 mov dword ptr [esp], eax
:00401013 8D442410 lea eax, dword ptr [esp+10]
:00401017 894C2404 mov dword ptr [esp+04], ecx

……………………(省略若干代码)

:00401075 83C43C add esp, 0000003C ;恢复堆栈

回收本地变量

内存空间
:00401078 C3 ret 000C ;

恢复参数占用

内存空间
;如果是“__cdecl”

话

这里是“ret”

堆栈将由

者恢复

;-------------------

结束-------------------------

;--------------主

func

代码--------------

:00401080 6A03 push 00000003 //压入参数param3
:00401082 6A02 push 00000002 //压入参数param2
:00401084 6A01 push 00000001 //压入参数param1
:00401086 E875FFFFFF call 00401000 //

func

;如果是“__cdecl”

话

将在这里恢复堆栈

“add esp, 0000000C”

聪明

读者看到这里

差不多就明白缓冲溢出

原理了

先来看下面

代码:

#

<stdio.h>
#

.h>

void __stdcall func

{
char lpBuff[8]="\0";
strcat(lpBuff,"AAAAAAAAAAA");

;
}

{
func

;

0;
}

编译后执行

下回如何样？哈

“"0x00414141"指令引用

"0x00000000"内存

该内存不能为"read"

”

“非法操作”喽！"41"就是"A"

16进制

ASCII码了

那明显就是strcat这句出

问题了

"lpBuff"

大小只有8字节

算进结尾

'\0'

那strcat最多只能写入7个"A"

但

实际写入了11个"A"外加1个'\0'

再来看看上面那幅图

多出来

4个字节正好覆盖了RET

所在

内存空间

导致

返回到

个

内存地址

执行了

指令

如果能精心构造这个

串

使它分成 3部分

前

部份仅仅是填充

无意义数据以达到溢出

目

接着是

个覆盖RET

数据

紧接着是

段shellcode

那只要着个RET地址能指向这段shellcode

第

个指令

那

返回时就能执行shellcode了

但是软件Software

区别版本和区别

运行环境都可能影响这段shellcode在内存中

位置

那么要构造这个RET是十分困难

般都在RET和shellcode的间填充大量

NOP指令

使得exploit有更强

通用性

├———————┤<—低端内存区域
│ …… │
├———————┤<—由exploit填入数据

开始
│ │
│ buffer │<—填入无用

数据
│ │
├———————┤
│ RET │<—指向shellcode

或NOP指令

范围
├———————┤
│ NOP │
│ …… │<—填入

NOP指令

是RET可指向

范围
│ NOP │
├———————┤
│ │
│ shellcode │
│ │
├———————┤<—由exploit填入数据

结束
│ …… │
├———————┤<—高端内存区域

windows下

动态数据除了可存放在栈中

还可以存放在堆中

了解C

朋友都知道

可以使用

关键字来动态分配内存

来看下面

代码:

#

<stdio.h>
#

<iostream.h>
#

<windows.h>

void func

{
char *buffer=

char[128];
char bufflocal[128];

char buff

[128];
pr

f("0x%08x\n",buffer); //打印堆中变量

内存地址
pr

f("0x%08x\n",bufflocal); //打印本地变量

内存地址
pr

f("0x%08x\n",buff

); //打印静态变量

内存地址
}

void

{
func

;

;
}

执行结果为:

0x004107d0
0x0012ff04
0x004068c0

可以发现用

关键字分配

内存即不在栈中

也不在静态数据区

VC编译器是通过windows下

“堆(heap)”来实现

关键字

内存动态分配

在讲“堆”的前

先来了解

下和“堆”有关

几个API

:

HeapAlloc 在堆中申请内存空间
HeapCreate 创建

个新

堆对象
HeapDestroy 销毁

个堆对象
HeapFree 释放申请

内存
HeapWalk 枚举堆对象

所有内存块
GetProcessHeap 取得进程

默认堆对象
GetProcessHeaps 取得进程所有

堆对象
LocalAlloc
GlobalAlloc

当进程

化时

系统会自动为进程创建

个默认堆

这个堆默认所占内存

大小为1M

堆对象由系统进行管理

它在内存中以链式结构存在

通过下面

代码可以通过堆动态申请内存空间:

HANDLE hHeap=GetProcessHeap

;
char *buff=HeapAlloc(hHeap,0,8);

其中hHeap是堆对象

句柄

buff是指向申请

内存空间

地址

那这个hHeap究竟是什么呢？它

值有什么意义吗？看看下面这段代码吧:

#pragma comment(linker,"/entry:

") //定义

入口
#

<windows.h>

_CRTIMP

(__cdecl *pr

f)(const char *, ...); //定义STL

f
/*---------------------------------------------------------------------------
写到这里

我们顺便来复习

下前面所讲

知识:
(*注)pr

是C语言

标准

库中

标准

库由msvcrt.dll模块实现

由

定义可见

参数个数是可变

内部无法预先知道

者压入

参数个数

只能通过分析第

个参数

串

格式来获得压入参数

信息

由于这里参数

个数是动态

所以必须由

者来平衡堆栈

这里便使用了__cdecl

规则

BTW

Windows系统

API

基本上是__stdcall

形式

只有

个API例外

那就是wspr

它使用__cdecl

规则

同pr

样

这是由于它

参数个数是可变

缘故

---------------------------------------------------------------------------*/
void

{
HANDLE hHeap=GetProcessHeap

;
char *buff=HeapAlloc(hHeap,0,0x10);
char *buff2=HeapAlloc(hHeap,0,0x10);
HMODULE hMsvcrt=LoadLibrary("msvcrt.dll");
pr

f=(void *)GetProcAddress(hMsvcrt,"pr

f");
pr

f("0x%08x\n",hHeap);
pr

f("0x%08x\n",buff);
pr

f("0x%08x\n\n",buff2);
}

执行结果为:

0x00130000
0x00133100
0x00133118

hHeap

值如何和那个buff

值那么接近呢？其实hHeap这个句柄就是指向HEAP首部

地址

在进程

用户区存着

个叫PEB(进程环境块)

结构

这个结构中存放着

些有关进程

重要信息

其中在PEB首地址偏移0x18处存放

ProcessHeap就是进程默认堆

地址

而偏移0x90处存放了指向进程所有堆

地址列表

指针

windows有很多API都使用进程

默认堆来存放动态数据

如windows 2000下

所有ANSI版本

都是在默认堆中申请内存来转换ANSI

串到Unicode

串

对

个堆

访问是顺序进行

同

时刻只能有

个线程访问堆中

数据

当多个线程同时有访问要求时

只能排队等待

这样便造成

执行效率下降

最后来说说内存中

数据对齐

所位数据对齐

是指数据所在

内存地址必须是该数据长度

整数倍

DWORD数据

内存起始地址能被4除尽

WORD数据

内存起始地址能被2除尽

x86 CPU能直接访问对齐

数据

当他试图访问

个未对齐

数据时

会在内部进行

系列

调整

这些调整对于

来说是透明

但是会降低运行速度

所以编译器在编译

时会尽量保证数据对齐

同样

段代码

我们来看看用VC、Dev-C

和lcc 3个区别编译器编译出来

执行结果:

#

<stdio.h>

{

a;
char b;

c;
pr

f("0x%08x\n",&a);
pr

f("0x%08x\n",&b);
pr

f("0x%08x\n",&c);

0;
}

这是用VC编译后

执行结果:
0x0012ff7c
0x0012ff7b
0x0012ff80
变量在内存中

顺序:b(1字节)-a(4字节)-c(4字节)

这是用Dev-C

编译后

执行结果:
0x0022ff7c
0x0022ff7b
0x0022ff74
变量在内存中

顺序:c(4字节)-中间相隔3字节-b(占1字节)-a(4字节)

这是用lcc编译后

执行结果:
0x0012ff6c
0x0012ff6b
0x0012ff64
变量在内存中

顺序:同上

3个编译器都做到了数据对齐

但是后两个编译器显然没VC“聪明”

让

个char占了4字节

浪费内存哦

基础知识:
堆栈是

种简单

数据结构

是

种只允许在其

端进行插入或删除

线性表

允许插入或删除操作

端称为栈顶

另

端称为栈底

对堆栈

插入和删除操作被称为入栈和出栈

有

组CPU指令可以实现对进程

内存实现堆栈访问

其中

POP指令实现出栈操作

PUSH指令实现入栈操作

CPU

ESP寄存器存放当前线程

栈顶指针

EBP寄存器中保存当前线程

栈底指针

CPU

EIP寄存器存放下

个CPU指令存放

内存地址

当CPU执行完当前

指令后

从EIP寄存器中读取下

条指令

内存地址

然后继续执行

参考:

Windows下

HEAP溢出及其利用

by: isno

windows核心编程

by: Jeffrey Richter

上

篇文章: Foxmail5远程缓冲区溢出漏洞分析

下

篇文章: 整理总结windows下堆溢出

3种利用方式

windows内存结构:windows进程中的内存结构

延伸阅读

最新评论

发表评论

赞助商广告

随机更新

热门标注

最近更新

最新标注