谁能解释下C语言的strcpy的这个溢出问题呢

0 0

谁能解释下C语言的strcpy的这个溢出问题呢3

const char * src = "hello";
char dest[1];

strcpy(dest,src);
printf("%s\n",src);
printf("%s\n",dest);

结果是：
(空行)
hello

问题补充：
我的编译器是vc6，32位机器

2009年9月17日 16:43

kisonlee
0
0 0 0

3个答案按时间排序按投票排序

0 0

我现在没有VC6的编译器了……楼主可以参考这篇文章设置VC6输出汇编文件：http://www.codeproject.com/KB/recipes/compout.aspx
然后阅读输出的汇编来分析。或者把输出的汇编贴到这边来问也好。其实看着汇编来分析很容易，我上面也给出例子了 ^ ^

2009年9月18日 14:34

RednaxelaFX
1894
0 0 0

添加评论

0 0

JavaEye的语法高亮插件bug又把代码的头两列给吃掉了……可恶
我上面的代码里第16行开头是LOOP:，头两个字母被吃了……

2009年9月17日 23:10

RednaxelaFX
1894
0 0 0

添加评论

0 0

楼主用的是什么编译器，版本是多少，用了什么编译参数？这些都会影响到结果……

例如说我在x86上用VC9，编译参数为/O2，得到的运行结果就是输出两行hello然后报错。
它编译出来的main函数是这样的：

  ; 在栈上申请char dest[1]的空间。
  ; 虽然它只有1字节，但栈空间都是按字长分配的，每次分配至少一个DWORD，
  ; 所以push任意一个寄存器正好达到esp -= 4
  ; 而dest的起始位置是esp + 3
  push ecx
  
  ; 现在栈的状况是：
  ; 假设esp当前值为S1，则
  ; S1 + 3等于dest的起始地址
  ; S1 + 4开始的DWORD是main的返回地址
  ; 再下面就是前一个栈帧的内容了
  
  ; 以下是strcpy的展开
  ; 循环计数器清零
  xor  eax, eax
LOOP:
  ; 把src字符串里的下标为eax的字节复制到cl
  mov  cl , byte ptr [eax + &src]
  ; 把那个字节再从cl复制到dest的下标为eax的位置
  mov  byte ptr [esp + eax + 3], cl
  ; 检查是否遇到字符串结尾的'\0'
  test cl, cl
  ; 还没到结尾就继续循环
  jne  LOOP
  ; strcpy结束
  
  ; 循环结束后，dest[0]为'h'，
  ; 而dest[1]到dest[4]正好跟原本保存返回地址的那个DWORD重叠了，
  ; 所以返回地址被改写为"ello"对应的整数，在little-endian的x86上
  ; "ello"对应的是0x6F6C6C65
  
  ; 调用printf("%s\n", src)
  push &src
  push &format_string
  call &printf
  
  ; 注意C标准库的函数的调用序列是cdecl，由调用方做栈平衡，
  ; 现在栈的状况是：
  ; 假设esp当前值为S2，则S2 == S1 + 4*2（因为push了两次，每次+4）
  ; 则dest的起始地址为S1 + 3 == S2 + 11
  
  ; 调用printf("%s\n", dest)
  ; 将dest的地址加载到eax中
  lea  eax, dword ptr [esp + 0bh]
  push eax
  push &format_string
  call &printf
  
  ; 返回值清0
  xor  eax, eax
  ; 恢复栈平衡
  add  esp, 014h
  ; 返回
  ret

如果用GCC的话，栈的布局会有点不同。GCC 3.x和GCC 4.x都会在栈上放所谓的“cookie”，位于每个返回地址的“上面”。所以溢出后的表现会跟VC的不同。楼主可以自己试试去阅读汇编解决疑惑 ^ ^

2009年9月17日 23:08

RednaxelaFX
1894
0 0 0