汇编指令修改被调用函数内的返回地址

Question

我是汇编程序的新手，我仍然不知道大部分指令。

我正在尝试在 C 程序中添加一些 asm 行（只是为了好玩，玩弄它）来修改函数的返回地址。

C 代码看起来像

int my_function()
{
    int my_number = 1;

    __asm__ ("nop"); 
    __asm__ ("nop"); 

    return my_number;
}

int main(int argc, char *argv[])
{
    //declarations

    ...lots of stuff

    int my_number = my_function();

    do_something;

    ...lots of stuff

    do_other_thing;

    ... lots of stuff (46 bits in assembler)

    return 0;
}

所以，我尝试做的是在my_function 上修改一次堆栈中的返回地址，所以，返回时，它转到do_other_thing 而不是do_something

为了使它更好，动态地，我不喜欢硬编码返回地址，所以我想添加这 46 位。我也知道返回地址在EBP + 4。我已经在x32dgb 中手动测试过，它可以工作。

我想我必须这样做：

1. 获取 EBP + 4 指向的内容（可能在 EAX 中）
2. 将 46 与 EAX 相加
3. 将此值写回 EBP + 4

到目前为止我已经理解了，但不确定如何将其编码为 ASM 语句......

你能帮帮我吗？

Answer 1

@Brendan 提到，使用内联汇编似乎很危险：

对于用 C 编写的代码；编译器拥有堆栈，编译器生成适合自身及其优化的函数启动代码，编译器生成退出代码以适合自己的启动代码。任何对堆栈布局做出任何假设的内联汇编都是“脆弱的”......

但是假设“返回地址被放置在当前函数的堆栈帧的正上方”，也许你可以尝试这样的事情：

void foo(void)
{
    uintptr_t *p_return_address = __builtin_frame_address(0) + sizeof(size_t);
    *p_return_address = /* the new return address */;
}

尽管如此，如果foo由于修改了返回地址而没有返回给它的调用者，那么调用者的结语将永远不会被执行，进而导致许多其他令人讨厌的问题，例如堆栈溢出。所以，这仍然是一件非常危险的事情。

Answer 2

请注意 C 中的编码和符号

正如@zx489 提到的，尝试类似：

__asm__(".intel_syntax prefix");
__asm__("add dword ptr [%ebp + 4], 46");

这可能有用...

Answer 3

我正在尝试在 C 程序中添加一些 asm 行（只是为了好玩，玩弄它）来修改函数的返回地址。

不要。

对于用 C 编写的代码；编译器拥有堆栈，编译器生成适合自身及其优化的函数启动代码，编译器生成退出代码以适合自己的启动代码。任何对堆栈布局做出任何假设的内联汇编都是“脆弱的”——任何地方的微小变化（甚至只是更改一个无辜的局部变量、更改编译器命令行参数或将编译器更新到下一个版本）都可能并最终导致堆栈布局的差异将破坏内联汇编。在实践中它实际上比这更糟糕 - 编译器可以并且将生成同一个“C函数”的多个不同版本（并将某些版本内联到其他函数中以避免函数调用的成本等），所以你最终得到尝试（并保证会失败）处理多个完全不同的堆栈布局的同一块内联程序集；即使您确实成功地返回了其他地方，您也无法可靠地避免在函数返回后搞砸一切。

另一个问题是，几乎从来没有一个理智的理由想要首先这样做。即使您正在编写可以完全控制堆栈布局的汇编语言（而不是使用无法控制堆栈布局的内联汇编语言编写 C）。

基本上；对于试图学习汇编以花时间学习的人来说，有很多事情更重要（这些事情不是“脆弱的”，也不是没用的）。这就像学习如何用手站立驾驶汽车（将脸放在油门/刹车踏板上，但看不到周围的任何东西）——没有用处。