Linux内核分析学习笔记(一)

从今天开始学习网易云课堂孟宁老师的《Linux内核分析》课程,链接地址:http://mooc.study.163.com/course/USTC-1000029000#/info,记录课程学习笔记。

第一周的内容主要介绍了冯诺依曼体系结构ATT格式的32位x86汇编语言以及一个简单的c程序反汇编成汇编代码的执行分析过程

 

一、冯诺依曼体系结构——存储程序式计算机

  冯诺依曼体系结构的核心是存储程序,将数据和代码都存储在存储器中,都是二进制数据,通过特定的模块来分辨数据与代码。冯诺依曼体系结构的计算机包括运算器、控制器、存储器、输入单元、输出单元五大件。

 

 

二、ATT格式的32位x86汇编

1、32位cpu的寄存器结构

通用寄存器

 

Linux内核分析学习笔记(一)_第1张图片

8位寄存器:ah、al、bh、bl、ch、cl、dh、dl

16位寄存器:ax、bx、cx、dx、bp、si、di、sp

32位寄存器:eax、ebx、ecx、edx、ebp、edi、esi、esp

注意:

1、8位寄存器与16位寄存器是独立的,例如低8位寄存器al的运算结构溢出并不会影响到高8位寄存器ah,同样16位寄存器ax不会影响到32位寄存器eax的高16位

2、通常情况下eax作为累加器,ebx作为基址寄存器,ecx作为计数器,edx作为数据寄存器,ebp作为堆栈基指针寄存器(栈底),esi、edi作为变址寄存器,esp作为堆栈顶指针寄存器。

段寄存器

cs代码段寄存器

ds数据段寄存器

ss栈段寄存器

es扩展段寄存器

gs、fs附加段寄存器

标志寄存器

 

Linux内核分析学习笔记(一)_第2张图片

 

2、几种ATT汇编指令

mov: 数据传送,可分为movb、movw、movl三种,分别传送一个字节、一个字、双字。

 

pushl入栈,pushl %eax相当于:

                      subl $4, %esp

                      movl %eax, (%esp)

popl:出栈, popl %eax相当于:

                      movl (%esp), %eax

                      add $4, %esp            

 call:call f:相当于

                      pushl %eip

                      movl f, %eip

ret: ret相当于:

                    popl %eip    

enter:相当于:

                       pushl %ebp

                       movl %esp, %ebp

leave:相当于:

                       movl %ebp, %esp

                       pop %ebp

 

注意:

Intel汇编与ATT汇编在多个操作数的时候,列出的操作数的顺序是相反的。

虽然上面对pushl和popl的解释中修改了eip,实际中程序员不能够手动直接操作eip,可以通过其他指令间接修改。

 

三、一个简单c程序反汇编分析

实验环境:https://www.shiyanlou.com/courses/running/555

1、试验阶段

 

编写c代码:

编译生成汇编代码:

gcc –S –o main.s main.c –m32

 

观察分析汇编代码

删除无关信息后的汇编代码main.s:

Linux内核分析学习笔记(一)_第3张图片

2、实验分析

函数调用堆栈的分析

观察上面汇编代码的每个函数main、f、g发现,每个函数的开始和结束都是一样的:

        pushl %ebp
        movl %esp, %ebp

        leave
        ret

上面两条指令相当于enter,用来构建一个函数堆栈框架,leave表示退出当前框架,分析如下:

进入函数前的初始状态:

进入函数enter:

中间进行一系列其他操作后,执行leave:

最终又恢复到进入函数之前的状态

分析c程序的汇编代码

同c程序从main函数开始执行一样,汇编代码从main标签开始执行:

Linux内核分析学习笔记(一)_第4张图片        Linux内核分析学习笔记(一)_第5张图片进入main函数前的内存状态

①从18行开始执行至22后:

18        pushl    %ebp
19        movl     %esp, %ebp
20        subl     $4, %esp
21        movl    $8, (%esp)
22        call       f

 

Linux内核分析学习笔记(一)_第6张图片

此时取出22行代码call f 后, %eip = 23

②执行22行 call f,先将当前eip(23)入栈,然后将f的地址传入eip,跳转至9行

pushl %eip
movl f, %eip

 

Linux内核分析学习笔记(一)_第7张图片

③进入f,构造f的堆栈框架,执行至11行:

9       pushl    %ebp
10      movl     %esp, %ebp
11      subl     $4, %esp

 

Linux内核分析学习笔记(一)_第8张图片

执行

12  movl 8(%ebp), %eax
13  movl %eax,  (%esp) 

Linux内核分析学习笔记(一)_第9张图片

此时%eax = 8

④执行

14        call g

 

将当前%eip(15)压栈,进入g,构建g的堆栈框架:

2        pushl        %ebp
3        movl         %esp, %ebp
4        movl         8(%ebp), %eax
5        addl         $3,   %eax

 

执行至6行:       %eax = 11

执行

6        popl     %ebp

 

销毁g堆栈框架:

Linux内核分析学习笔记(一)_第10张图片

执行

7        ret 

 

即popl %eip后, %eip = 15,回到第15行执行指令

⑤执行15行

15        leave

 

即:

pushl %ebp, %esp
popl %ebp

 销毁f的堆栈框架:

执行16行:

16        ret

 

Linux内核分析学习笔记(一)_第11张图片

  此时 %eip = 23,%eax = 11

  跳转至23行

23        addl        $1, %eax

 

此时%eax = 12

⑥执行24行

24        leave

 

销毁main的堆栈框架:

Linux内核分析学习笔记(一)_第12张图片

 

又恢复到初始状态,而函数的返回值默认存放在%eax中,即%eax = 12,

继续

25        ret

 

恢复至进入main之前的状态。

至此,上述c程序的汇编代码分析完毕。

你可能感兴趣的:(Linux内核分析学习笔记(一))