·.text:00401015; четырем байтам, так называемое выравнивание.
·.text:00401015; Таким образом на данный момент стек выглядит так:
·.text:00401015;
·.text:00401015; Относительный адрес Содержимое ячейки
·.text:00401015; - 0x18 буфер var_18[0]
·.text:00401015; - 0x17 буфер var_18[1]
·.text:00401015; - 0x16 буфер var_18[2]
·.text:00401015; - 0x15 буфер var_18[3]
·.text:00401015; - 0x14 буфер var_18[4]
·.text:00401015; - 0x13 буфер var_18[5]
·.text:00401015; - 0x12 буфер var_18[6]
·.text:00401015; - 0x11 буфер var_18[7]
·.text:00401015; - 0x10 буфер var_18[8]
·.text:00401015; - 0x0F буфер var_18[9]
·.text:00401015; - 0x0E дырка для выравнивания
·.text:00401015; - 0x0D дырка для выравнивания
·.text:00401015; - 0x0С буфер var_С[0] 01
·.text:00401015; - 0x0B буфер var_С[1] 02
·.text:00401015; - 0x0A буфер var_С[2] 03
·.text:00401015; - 0x09 буфер var_С[3] 04
·.text:00401015; - 0x08 буфер var_С[4] 05
·.text:00401015; - 0x07 буфер var_С[5] 06
·.text:00401015; - 0x06 буфер var_С[6] 07
·.text:00401015; - 0x05 буфер var_С[7] 08
·.text:00401015; - 0x04 буфер var_С[8] 09
·.text:00401015; - 0x03 буфер var_С[9] 10
·.text:00401015; - 0x02 дырка для выравнивания 11
·.text:00401015; - 0x01 дырка для выравнивания 12
·.text:00401015; 0x00 значение регистра ebp[0] 13
·.text:00401015; + 0x01 значение регистра ebp[1] 14
·.text:00401015; + 0x02 значение регистра ebp[2] 15
·.text:00401015; + 0x03 значение регистра ebp[3] 16
·.text:00401015; + 0x04 значение регистра eip[0] (адрес возврата) 17
·.text:00401015; + 0x05 значение регистра eip[1] (адрес возврата) 18
·.text:00401015; + 0x06 значение регистра eip[2] (адрес возврата) 19
·.text:00401015; + 0x07 значение регистра eip[3] (адрес возврата) 20
·.text:00401015; Таким образом, байты с 17 до 20 (не считая нуля завершающего строку) из буфера var_c затирают
·.text:00401015: адрес возврата сохраненный в стеке. Следовательно, строка из шестнадцати символов, включая
·.text:00401015; завершающий ноль вызовет модификацию младшего байта адреса возврата.
·.text:00401015; Остается отождествить буфер var_c - что он собой представляет имя пользователя или пароль?
·.text:00401018 push offset aLogin; "Login:"
·.text:00401018; В стек заносится смещение строки “Login”, значение указателя стека уменьшается на 4
·.text:00401018; Это первый (и единственный) аргумент функции printf
·.text:0040101D call _printf
·.text:0040101D; Вывод на экран приглашения “Login:”
·.text:00401022 add esp, 4
·.text:00401022; Значение указателя стека увеличивается на четыре, чтобы избавится от занесенного в стек смещения
·.text:00401025; строки “Login”. Си-функции не очищают стек после своего завершения
·.text:00401025 lea eax, [ebp+var_C]
·.text:00401025; В регистр eax заносится смещение буфера var_c, для последующей передачи его функции gets, читающей
·.text:00401025; строку с клавиатуры.
·.text:00401025; Следовательно, буфер var_c содержит имя пользователя
·.text:00401028 push eax
·.text:00401028; Значение eax заносится в стек
·.text:00401029 call _gets
·.text:00401029; Вызов функции _gets
·.text:0040102E add esp, 4
·.text:0040102E; Удаление двойного слова из стека (для очистки аргумента функции gets)
·.text:00401031 push offset aPassw; "Passw:"
·.text:00401031; Занесение в стек строки «Passw»
·.text:00401036 call _printf
·.text:00401036; Вывод строки “Passw” на экран с помощью функции printf
·.text:0040103B add esp, 4
·.text:0040103B; Удаление двойного слова из стека
·.text:0040103E lea ecx, [ebp+var_18]
·.text:0040103E; В регистр ecx заносится смещение буфера var_18 для последующей передачи его функции gets,
·.text:0040103E; читающей строку с клавиатуры. Следовательно, буфер var_18 содержит пароль
·.text:00401041 push ecx
·.text:00401041 ; Передача аргумента функции gets
·.text:00401042 call _gets
·.text:00401042 ; Чтение пароля в буфер var_18
·.text:00401047 add esp, 4
·.text:00401047 ; Балансировка стека
·.text:0040104A push offset aGuest; "guest"
·.text:0040104A; Занесение в стек смещения строки Guest для сравнения ее с введенным паролем
·.text:0040104F lea edx, [ebp+var_18]
·.text:0040104F; В регистр edx заносится смещение буфера, содержащего введенный пароль
·.text:00401052 push edx
·.text:00401052; Сейчас в верхушке стека содержатся два значения
·.text:00401052; смещение эталонного пароля и смещения буфера, содержащего введенный пароль
·.text:00401053 call _strcmp
·.text:00401053; Вызов функции strcmp( amp;pass[0],”Guest”)
·.text:00401058 add esp, 8
·.text:00401058; Балансировка стека
·.text:0040105B test eax, eax
·.text:0040105B; Значение, возвращаемое функцией помещается в регистр eax
·.text:0040105B; если он равен нулю, то строки идентичны и наоборот
·.text:0040105B; если eax равен нулю, команда test выставляет флаг нуля
·.text:0040105D jnz short loc_0_401066
·.text:0040105D; Если флаг не установлен (пароль не равен “Guest”), переход по адресу 401066
·.text:0040105F mov eax, 1
·.text:0040105F; В регистр eax заносится значение 1, которое будет возвращено при выходе из нее
·.text:00401064 jmp short loc_0_401068
·.text:00401064; Переход по адресу 401068 (к выходу из функции)
·.text:00401066; ---------------------------------------------------------------------------
·.text:00401066
·.text:00401066 loc_0_401066:; CODE XREF: auth+4Bj
·.text:00401066 xor eax, eax
·.text:00401068; Обнулить значение регистра eax
·.text:00401068 loc_0_401068:; CODE XREF: auth+52j
·.text:00401068 mov esp, ebp
·.text:00401068; Восстановить значение регистра esp, который должен указывать на сохраненный в стеке регистр ebp
·.text:0040106A pop ebp
·.text:0040106A; Восстановить ebp
·.text:0040106B retn
·.text:0040106B; Выйти из функции. Команда retn снимает из стека двойное слово, которое при
·.text:0040106B; нормальном развитии событий должно быть равно адресу возврата (в данном примере 00401081
·.text:0040106B; (смотри функцию main)
·.text:0040106B auth endp
·.text:0040106B
·.text:0040106C
·.text:0040106C; --------------- S U B R O U T I N E ---------------------------------------
·.text:0040106C
·.text:0040106C; Attributes: bp-based frame
·.text:0040106C
·.text:0040106C main proc near; CODE XREF: start+AFp
·.text:0040106C push ebp
·.text:0040106C; Занесение в стек значение регистра ebp
·.text:0040106D mov ebp, esp
·.text:0040106D; Открытие кадра стека
·.text:0040106F push offset aBufferOverflow; "Buffer Overflows Demo\n"
·.text:0040106F; Занесение в стек смещения строки “ Buffer Overflows Demo” для вывода ее на экран
·.text:00401074 call _printf
·.text:00401074; Вызов функции printf(“Buffer Overflows Demo\n")
·.text:00401079 add esp, 4
·.text:00401079; Балансировка стека
·.text:0040107C call Auth
·.text:0040107C; Вызов функции Auth(). В стек заносится адрес следующей за call команды, т.е. 00401081
·.text:00401081 test eax, eax
·.text:00401081; Функция Auth возвратила нулевое значение?
·.text:00401083 jz short loc_0_401094
·.text:00401083; Если функция возвратила нулевое значение перейти по адресу 401094