這篇文章主要介紹了淺析C語(yǔ)言編程中的數(shù)組越界問題,通過(guò)內(nèi)存空間來(lái)討論其導(dǎo)致的程序崩潰問題,需要的朋友可以參考下

因?yàn)镃語(yǔ)言不檢查數(shù)組越界，而數(shù)組又是我們經(jīng)常用的數(shù)據(jù)結(jié)構(gòu)之一，所以程序中經(jīng)常會(huì)遇到數(shù)組越界的情況，并且后果輕者讀寫數(shù)據(jù)不對(duì)，重者程序crash。下面我們來(lái)分析一下數(shù)組越界的情況：

1) 堆中的數(shù)組越界

因?yàn)槎咽俏覀冏约悍峙涞模绻浇纾敲磿?huì)把堆中其他空間的數(shù)據(jù)給寫掉，或讀取了其他空間的數(shù)據(jù)，這樣就會(huì)導(dǎo)致其他變量的數(shù)據(jù)變得不對(duì)，如果是一個(gè)指針的話，那么有可能會(huì)引起crash

2) 棧中的數(shù)組越界

因?yàn)闂Ｊ窍蛳略鲩L(zhǎng)的，在進(jìn)入一個(gè)函數(shù)之前，會(huì)先把參數(shù)和下一步要執(zhí)行的指令地址(通過(guò)call實(shí)現(xiàn))壓棧，在函數(shù)的入口會(huì)把ebp壓棧，并把esp賦值給ebp，在函數(shù)返回的時(shí)候，將ebp值賦給esp，pop先前棧內(nèi)的上級(jí)函數(shù)棧的基地址給ebp，恢復(fù)原棧基址，然后把調(diào)用函數(shù)之前的壓入棧的指令地址pop出來(lái)(通過(guò)ret實(shí)現(xiàn))。

棧是由高往低增長(zhǎng)的，而數(shù)組的存儲(chǔ)是由低位往高位存的 ，如果越界的話，會(huì)把當(dāng)前函數(shù)的ebp和下一跳的指令地址覆蓋掉，如果覆蓋了當(dāng)前函數(shù)的ebp，那么在恢復(fù)的時(shí)候esp就不能指向正確的地方，從而導(dǎo)致未可知的情況，如果下一跳的地址也被覆蓋掉，那么肯定會(huì)導(dǎo)致crash。

-------------------------

壓入的參數(shù)和函數(shù)指針

-------------------------

aa[4]

aa[3]

合法的數(shù)組空間 aa[2]

aa[1]

aa[0]

-------------------------

###sta.c###

1. #include <stdio.h> 
2.  
3. void f(int ai) 
4. { 
5. int aa[5]={1,2,3}; 
6. int i = 1; 
7. for (i=0;i<10;i++) 
8. aa[i]=i; 
9. printf("f()/n"); 
10. } 
11.  
12. void main() 
13. { 
14. f(3); 
15. printf("ok/n"); 
16. } 
17.  
18.  
19.  
20.  
21.  
22. ###sta.s### 
23.  
24. .file "sta.c" ;說(shuō)明匯編的源程序 
25. .section .rodata ;說(shuō)明以下是只讀數(shù)據(jù)區(qū) 
26. .LC0: 
27. .string "f()" ;"f()" 的類型是string，地址為L(zhǎng)C0 
28. .text ;代碼段開始 
29. .globl f ;f為全局可訪問 
30. .type f, @function ; f是函數(shù) 
31. f: 
32. pushl %ebp 
33. movl %esp, %ebp 
34. subl $40, %esp 
35. movl $0, -24(%ebp) 
36. movl $0, -20(%ebp) 
37. movl $0, -16(%ebp) 
38. movl $0, -12(%ebp) 
39. movl $0, -8(%ebp) 
40. movl $1, -24(%ebp) 
41. movl $2, -20(%ebp) 
42. movl $3, -16(%ebp) 
43. movl $1, -4(%ebp) 
44. movl $0, -4(%ebp) 
45. jmp .L2 
46. .L3: 
47. movl -4(%ebp), %edx 
48. movl -4(%ebp), %eax 
49. movl %eax, -24(%ebp,%edx,4) 
50. addl $1, -4(%ebp) 
51. .L2: 
52. cmpl $9, -4(%ebp) 
53. jle .L3 
54. movl $.LC0, (%esp) 
55. call puts 
56. leave 
57. ret 
58. .size f, .-f ;用以計(jì)算函數(shù)f的大小 
59. .section .rodata 
60. .LC1: 
61. .string "ok" 
62. .text 
63. .globl main 
64. .type main, @function 
65. main: 
66. leal 4(%esp), %ecx 
67. andl $-16, %esp 
68. pushl -4(%ecx) 
69. pushl %ebp 
70. movl %esp, %ebp 
71. pushl %ecx 
72. subl $4, %esp 
73. movl $3, (%esp) 
74. call f 
75. movl $.LC1, (%esp) 
76. call puts 
77. addl $4, %esp 
78. popl %ecx 
79. popl %ebp 
80. leal -4(%ecx), %esp 
81. ret 
82. .size main, .-main 
83. .ident "GCC: (GNU) 4.1.2 20070115 (SUSE Linux)" ;說(shuō)明是用什么工具編譯的 
84. .section .note.GNU-stack,"",@progbits 

從main函數(shù)開始?jí)喝雈函數(shù)的參數(shù)開始，堆棧的調(diào)用情況如下

圖1 壓入?yún)?shù)

圖二 通過(guò)call 命令壓入下一跳地址 IP

圖三 函數(shù)f 通過(guò)pushl %ebp 把 ebp保存起來(lái)

圖四 函數(shù) f 通過(guò)movl %esp, %ebp讓ebp指向esp，這樣esp就可以進(jìn)行修改，在函數(shù)返回的時(shí)候用ebp的值對(duì)esp進(jìn)行恢復(fù)

圖五 函數(shù) f 通過(guò)subl $40, %esp 給函數(shù)的局部變量預(yù)留空間

圖六 int數(shù)組 aa[5]占用了20個(gè)字節(jié)的空間，然后 int i占用了4個(gè)字節(jié)的空間(緊鄰著之前壓入棧的%ebp)

故，如果aa[5]進(jìn)行賦值，則會(huì)把 i 的值覆蓋掉，

如果對(duì)aa[6]進(jìn)行賦值，則會(huì)把 棧中的 %ebp 覆蓋掉，那么在函數(shù) f 返回的時(shí)候則不能對(duì)ebp進(jìn)行恢復(fù)，即main函數(shù)的ebp變成了我們覆蓋掉的值，程序不知道會(huì)發(fā)生什么事情，但因?yàn)槲覀兊某绦蚪酉聛?lái)沒有調(diào)用棧中的內(nèi)容，故還是可以運(yùn)行的。

如果對(duì)aa[7]進(jìn)行賦值，則會(huì)把棧中的 %IP 覆蓋掉，在函數(shù) f 返回的時(shí)候就不能正確地找到下一跳的地址，會(huì)crash;