[讨论]为什么vs的64位C运行时库开头的几句汇编总是改写栈数据-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
鸡蛋面雪币： 5 活跃值： (531) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 2 楼我也碰到过这个问题，把我的HOOK堆栈搞得乱七八糟..... 观察了下，应该是为了给参数保留相应的堆栈。64位调用约定虽然优先使用寄存器传参，但还是会给参数留有相应的堆栈空间。比如我的GetStringVal函数有三个参数，根据调用约定使用了rcx rdx r8三个寄存器传参，但是在函数头还是将这三个寄存器的内容以从右到左的参数顺序保存到了堆栈中。 bool GetStringVal(HKEY hKey, LPCTSTR lpValue, LPCWSTR lpszContent) { 000000013F811100 mov qword ptr [rsp+18h],r8 000000013F811105 mov qword ptr [rsp+10h],rdx 000000013F81110A mov qword ptr [rsp+8],rcx 000000013F81110F push rdi 000000013F811110 sub rsp,80h 000000013F811117 mov rdi,rsp 2019-5-7 17:03 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 3 楼你那种情况都是3个参数还好一点那个flush 只有一个参数, 但是它写了两个位置的数据, 而且从源码来看是绝对看不出来的 2019-5-7 18:15 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 4 楼因为Debug版本. 会把参数写回栈 Release就没有 Release 不是参数的就是保存非易失寄存器的... 这个基本常识吧... 2019-5-7 18:18 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 5 楼 @syser, 你没认真看啊, 一个参数, 它要写回也是只写一个吧, 为什么写两个甚至三个? 其次, 我用的是 msvcr120.dll 后面不带d说明不是debug版本 2019-5-7 18:38 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 28 关注私信	malokch 2 6 楼 7b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8X3y4H3M7q4)9J5c8X3u0#2K9h3I4V1i4K6u0r3M7s2u0G2L8r3!0Y4i4K6u0V1j5h3&6V1i4K6u0V1k6i4m8A6L8r3!0Y4i4K6y4r3N6X3W2W2N6#2)9K6c8s2k6K6i4K6u0V1x3U0l9I4z5g2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9^5y4#2)9^5x3W2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7c8q4!0m8x3q4!0q4y4W2)9^5x3#2!0n7x3#2!0q4y4W2)9^5z5g2!0n7c8g2!0q4y4#2)9&6b7g2)9^5y4l9`.`. 2019-5-7 19:42 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 103 关注私信	blindtiger 1 7 楼 x64编译器默认fastcall, 当你使用&var1这种方式去访问参数地址的时候, 因为rcx是没有地址的所以编译器需要一个栈上的地址来存储数据,使逻辑不会出错,这也是fastcall为啥要有20h个(rcx, rdx, r8, r9)保留堆栈的原因, 当没有这种方式的访问时,一般是用来保存易失性的数据,节省栈的开销. 2019-5-7 22:46 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 8 楼 frdGo @syser, 你没认真看啊, 一个参数, 它要写回也是只写一个吧, 为什么写两个甚至三个? 其次, 我用的是 msvcr120.dll 后面不带d说明不是debug版本 ...我说的还不够详细么.,. 相当于Push 非易失寄存器... 2019-5-8 04:05 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 9 楼谢谢各位, 搞明白了 2019-5-8 09:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
鸡蛋面雪币： 5 活跃值： (531) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 2 楼我也碰到过这个问题，把我的HOOK堆栈搞得乱七八糟..... 观察了下，应该是为了给参数保留相应的堆栈。64位调用约定虽然优先使用寄存器传参，但还是会给参数留有相应的堆栈空间。比如我的GetStringVal函数有三个参数，根据调用约定使用了rcx rdx r8三个寄存器传参，但是在函数头还是将这三个寄存器的内容以从右到左的参数顺序保存到了堆栈中。 bool GetStringVal(HKEY hKey, LPCTSTR lpValue, LPCWSTR lpszContent) { 000000013F811100 mov qword ptr [rsp+18h],r8 000000013F811105 mov qword ptr [rsp+10h],rdx 000000013F81110A mov qword ptr [rsp+8],rcx 000000013F81110F push rdi 000000013F811110 sub rsp,80h 000000013F811117 mov rdi,rsp 2019-5-7 17:03 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 3 楼你那种情况都是3个参数还好一点那个flush 只有一个参数, 但是它写了两个位置的数据, 而且从源码来看是绝对看不出来的 2019-5-7 18:15 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 4 楼因为Debug版本. 会把参数写回栈 Release就没有 Release 不是参数的就是保存非易失寄存器的... 这个基本常识吧... 2019-5-7 18:18 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 5 楼 @syser, 你没认真看啊, 一个参数, 它要写回也是只写一个吧, 为什么写两个甚至三个? 其次, 我用的是 msvcr120.dll 后面不带d说明不是debug版本 2019-5-7 18:38 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 28 关注私信	malokch 2 6 楼 7b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8X3y4H3M7q4)9J5c8X3u0#2K9h3I4V1i4K6u0r3M7s2u0G2L8r3!0Y4i4K6u0V1j5h3&6V1i4K6u0V1k6i4m8A6L8r3!0Y4i4K6y4r3N6X3W2W2N6#2)9K6c8s2k6K6i4K6u0V1x3U0l9I4z5g2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9^5y4#2)9^5x3W2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7c8q4!0m8x3q4!0q4y4W2)9^5x3#2!0n7x3#2!0q4y4W2)9^5z5g2!0n7c8g2!0q4y4#2)9&6b7g2)9^5y4l9`.`. 2019-5-7 19:42 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 103 关注私信	blindtiger 1 7 楼 x64编译器默认fastcall, 当你使用&var1这种方式去访问参数地址的时候, 因为rcx是没有地址的所以编译器需要一个栈上的地址来存储数据,使逻辑不会出错,这也是fastcall为啥要有20h个(rcx, rdx, r8, r9)保留堆栈的原因, 当没有这种方式的访问时,一般是用来保存易失性的数据,节省栈的开销. 2019-5-7 22:46 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 8 楼 frdGo @syser, 你没认真看啊, 一个参数, 它要写回也是只写一个吧, 为什么写两个甚至三个? 其次, 我用的是 msvcr120.dll 后面不带d说明不是debug版本 ...我说的还不够详细么.,. 相当于Push 非易失寄存器... 2019-5-8 04:05 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 9 楼谢谢各位, 搞明白了 2019-5-8 09:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复