浅析C语言编程中的数组越界问题

因为C语言不检查数组越界,而数组又是我们经常用的数据结构之一,所以程序中经常会遇到数组越界的情况,并且后果轻者读写数据不对,重者程序crash。下面我们来分析一下数组越界的情况:
1) 堆中的数组越界

因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash

2) 栈中的数组越界

因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,在函数的入口会把ebp压栈,并把esp赋值给ebp,在函数返回的时候,将ebp值赋给esp,pop先前栈内的上级函数栈的基地址给ebp,恢复原栈基址,然后把调用函数之前的压入栈的指令地址pop出来(通过ret实现)。

栈是由高往低增长的,而数组的存储是由低位往高位存的 ,如果越界的话,会把当前函数的ebp和下一跳的指令地址覆盖掉,如果覆盖了当前函数的ebp,那么在恢复的时候esp就不能指向正确的地方,从而导致未可知的情况,如果下一跳的地址也被覆盖掉,那么肯定会导致crash。

-------------------------

压入的参数和函数指针

-------------------------

aa[4]

aa[3]

合法的数组空间   aa[2]

aa[1]

aa[0]

-------------------------

###sta.c###

#include <stdio.h>

void f(int ai)
{
int aa[5]={1,2,3};
int i = 1;
for (i=0;i<10;i++)
 aa[i]=i;
printf("f()/n");
}

void main()
{
f(3);
printf("ok/n");
}

###sta.s###

     .file  "sta.c"                 ;说明汇编的源程序
    .section    .rodata           ;说明以下是只读数据区
.LC0:
    .string "f()"                  ;"f()" 的类型是string,地址为LC0
    .text                       ;代码段开始
.globl f                         ;f为全局可访问
    .type  f, @function            ; f是函数
f:
    pushl  %ebp
    movl  %esp, %ebp
    subl  $40, %esp
    movl  $0, -24(%ebp)
    movl  $0, -20(%ebp)
    movl  $0, -16(%ebp)
    movl  $0, -12(%ebp)
    movl  $0, -8(%ebp)
    movl  $1, -24(%ebp)
    movl  $2, -20(%ebp)
    movl  $3, -16(%ebp)
    movl  $1, -4(%ebp)
    movl  $0, -4(%ebp)
    jmp   .L2
.L3:
    movl  -4(%ebp), %edx
    movl  -4(%ebp), %eax
    movl  %eax, -24(%ebp,%edx,4)
    addl  $1, -4(%ebp)
.L2:
    cmpl  $9, -4(%ebp)
    jle   .L3
    movl  $.LC0, (%esp)
    call  puts
    leave
    ret
    .size  f, .-f                     ;用以计算函数f的大小
    .section    .rodata
.LC1:
    .string "ok"
    .text
.globl main
    .type  main, @function
main:
    leal  4(%esp), %ecx
    andl  $-16, %esp
    pushl  -4(%ecx)
    pushl  %ebp
    movl  %esp, %ebp
    pushl  %ecx
    subl  $4, %esp
    movl  $3, (%esp)
    call  f
    movl  $.LC1, (%esp)
    call  puts
    addl  $4, %esp
    popl  %ecx
    popl  %ebp
    leal  -4(%ecx), %esp
    ret
    .size  main, .-main
    .ident "GCC: (GNU) 4.1.2 20070115 (SUSE Linux)"        ;说明是用什么工具编译的
    .section    .note.GNU-stack,"",@progbits

从main函数开始压入f函数的参数开始,堆栈的调用情况如下

图1  压入参数

图二  通过call 命令压入下一跳地址 IP

图三  函数f 通过pushl   %ebp 把 ebp保存起来

图四  函数 f 通过movl    %esp, %ebp让ebp指向esp,这样esp就可以进行修改,在函数返回的时候用ebp的值对esp进行恢复

图五  函数 f 通过subl    $40, %esp 给函数的局部变量预留空间

图六  int数组 aa[5]占用了20个字节的空间,然后 int i占用了4个字节的空间(紧邻着之前压入栈的%ebp)

故,如果aa[5]进行赋值,则会把 i 的值覆盖掉,

如果对aa[6]进行赋值,则会把 栈中的 %ebp 覆盖掉,那么在函数 f 返回的时候则不能对ebp进行恢复,即main函数的ebp变成了我们覆盖掉的值,程序不知道会发生什么事情,但因为我们的程序接下来没有调用栈中的内容,故还是可以运行的。

如果对aa[7]进行赋值,则会把栈中的 %IP 覆盖掉,在函数 f 返回的时候就不能正确地找到下一跳的地址,会crash;

(0)

相关推荐

  • C++中new的越界访问问题

    今天敲代码的时候发现了一个BUG和大家分享一下,希望大家下次不要犯和我一样的错误. 如果犯了和我一样的错,也能知道自己错在哪里! <(^-^)> 函数如下:(斐波那契数列的实现) long long FibonacciSeq( int n) {     long long *fib=new long long[n+1];     fib[0] = 0;     fib[1] = 1;     for (int i = 2;i <=n; i++)     {         fib[i]

  • searchDisplayController 引起的数组越界处理办法

    下面把searchDisplayController 引起的数组越界处理办法给大家分享如下: 当[searchDisplayController.searchResultsTableView setSeparatorStyle:UITableViewCellSeparatorStyleNone] 时,发送了崩溃 错误提示如下: Terminating app due to uncaught exception 'NSRangeException', reason: '*** -[__NSArra

  • c语言算术运算符越界问题解决方案

    大量的安全漏洞是由于计算机算术运算的微妙细节引起的, 具体的C语言, 诸如符号数和无符号数之间转换, 算术运算的越界都会导致不可预知的错误和安全漏洞, 具体的案例数不胜数. 作为一个系统程序员, 有必要对这些细节有深入的了解. 本篇参考csapp, 主要介绍如何判断算术运算的越界问题. (虽然本篇的代码经过大量的测试, 但本人仍然无法保证代码的正确性, 希望大家纠错). 讲解的原则是"摆定理, 不证明, 写代码". 具体的证明过程在csapp中有详细的讲解, 也不是太难. 主要使用关键

  • 浅析C语言编程中的数组越界问题

    因为C语言不检查数组越界,而数组又是我们经常用的数据结构之一,所以程序中经常会遇到数组越界的情况,并且后果轻者读写数据不对,重者程序crash.下面我们来分析一下数组越界的情况: 1) 堆中的数组越界 因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash 2) 栈中的数组越界 因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,

  • C语言编程中常见的五种错误及对应解决方案

    目录 1. 未初始化的变量 2. 数组越界 3. 字符串溢出 4. 重复释放内存 5. 使用无效的文件指针 前言: C 语言有时名声不太好,因为它不像近期的编程语言(比如 Rust)那样具有内存安全性.但是通过额外的代码,一些最常见和严重的 C 语言错误是可以避免的. 即使是最好的程序员也无法完全避免错误.这些错误可能会引入安全漏洞.导致程序崩溃或产生意外操作,具体影响要取决于程序的运行逻辑. 下文讲解了可能影响应用程序的五个错误以及避免它们的方法: 1. 未初始化的变量 程序启动时,系统会为其

  • java编程中拷贝数组的方式及相关问题分析

    JAVA数组的复制是引用传递,而并不是其他语言的值传递. 这里介绍java数组复制的4种方式极其问题: 第一种方式利用for循环: int[] a={1,2,4,6}; int length=a.length; int[] b=new int[length]; for (int i = 0; i < length; i++) { b[i]=a[i]; } 第二种方式直接赋值: int[] array1={1,2,4,6}; int[] array2=a; 这里把array1数组的值复制给arra

  • C语言编程C++柔性数组结构示例讲解

    目录 绕指柔-柔性数组 柔性数组的特点: 第一个好处是:方便内存释放 第二个好处是:这样有利于访问速度 总结 绕指柔-柔性数组 也许你从来没有听说过柔性数组(flexible array)这个概念,但是它确实是存在的. C99 中,结构体中的最后一个元素允许是未知大小的数组,这就叫做柔性数组成员. 柔性数组的特点: 1.结构中的柔性数组成员前面必须至少一个其他成员. 2.sizeof 返回的这种结构大小不包括柔性数组的内存. 3.包含柔性数组成员的结构用malloc ()函数进行内存的动态分配,

  • C语言编程之初识数组线性查找和二分查找

    目录 线性查找 二分查找 先来了解一下什么是查找, 额,好吧,这没什么可了解的, 就是查找数组中的某个元素的位置或是否存在. 就这,没了.直接了解查找算法吧. 线性查找 线性查找与二分查找有些差别. 数组内元素可以是混乱无序的,即没有按顺序储存.这方法很简单,就是从首元素开始,依此向后查找,比较.仅此而已.运用循环,依次对比. 看代码吧. #include <stdio.h> int main(void) { int arr[] = { 5,4,6,8,7,9,10,2,3,1 }; int

  • 浅析Go语言的数据类型及数组

    目录 Go语言身世简介 Go语言的第一个程序 Go语言的数据类型 Go语言匿名变量 Go语言的数据类型 Go语言中的数组 Go语言身世简介 Go(又称 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 开发的一种静态强类型.编译型语言.Go 语言语法与 C 相近,但功能上有:内存安全,GC(垃圾回收),结构形态及 CSP-style 并发计算. Go语言的第一个程序 我们使用的IDE工具为GoLand(没错,又是Jetbrain

  • 浅析Java 并发编程中的synchronized

    synchronized关键字,我们一般称之为"同步锁",用它来修饰需要同步的方法和需要同步代码块,默认是当前对象作为锁的对象.在用synchronized修饰类时(或者修饰静态方法),默认是当前类的Class对象作为锁的对象,故存在着方法锁.对象锁.类锁这样的概念. 一.没有设置线程同步的情况 先给出以下代码感受下代码执行的时候为什么需要同步?代码可能比较枯燥,配上业务理解起来就会舒服很多,学生军训,有三列,每列5人,需要报数,每个线程负责每一列报数. class Synchroni

  • 详解C语言编程中预处理器的用法

    预处理最大的标志便是大写,虽然这不是标准,但请你在使用的时候大写,为了自己,也为了后人. 预处理器在一般看来,用得最多的还是宏,这里总结一下预处理器的用法. #include <stdio.h> #define MACRO_OF_MINE #ifdef MACRO_OF_MINE #else #endif 上述五个预处理是最常看见的,第一个代表着包含一个头文件,可以理解为没有它很多功能都无法使用,例如C语言并没有把输入输入纳入标准当中,而是使用库函数来提供,所以只有包含了stdio.h这个头文

  • 在ASP编程中使用数组

    数组的定义 Dim MyArray MyArray = Array(1,5,123,12,98) 可扩展数组 Dim MyArray() for i = 0 to 10 ReDim Preserve MyArray(i) MyArray(i)=i next 将一个字符串分割并返回分割结果的数组 Dim MyArray MyArray = Split(tempcnt,chr(13)&chr(10)) For I = Lbound(MyArray) to Ubound(MyArray)  Respo

  • 在C语言编程中设置和获取代码组数的方法

    C语言setgroups()函数:设置组代码函数 头文件: #include <grp.h> 定义函数: int setgroups(size_t size, const gid_t * list); 函数说明:setgroups()用来将list 数组中所标明的组加入到目前进程的组设置中. 参数size 为list()的gid_t 数目, 最大值为NGROUP(32). 返回值:设置成功则返回0, 如有错误则返回-1. 错误代码: EFAULT:参数list 数组地址不合法. EPERM:权

随机推荐