Можно ли выполнить код из стека? - Низкоуровневое программирование

Я никогда не писал на асме, но недавно попалась книженция Тома Свана по асму и понеслось...

Итак:
Например, загоню в стек слово-опкод 90С3h, то есть просто ret, nop.
И мне хочется выполнить этот ret.

Как всем известно, ret берет свой адрес тоже из стека.

Что-нибудь вроде:


push token
push 90C3h
;...
;Какие-то манипуляци со стеком, чтобы ret правильное значение брал
;...
jmp esp
token:

метка нужна для ret'а, такая замена call'а.

Вообщем, на этом мысль останавливается. Кто-нибудь, скажите что-нибудь по этом поводу. Нужно просто передать управление в область стека, в которой выполниться ret и вернет управление программе.

Цель — отравить жизнь себе и недобросовестному пользователью.

Можно.

Когда-то на сайте www.programme.ru была статья, кажется, самого Криса Касперски про выполнение кода на стеке. Всё было так детальненько и подробненько описано. Но потом она куда-то делась. Увы.

Если разыщете, сообщите в форум, ценная вещь

А вот, собственно, и она.

Самомодифицирующийся код в современных ОС

Здравствуйте, Evengar, Вы писали:

E>Вообщем, на этом мысль останавливается. Кто-нибудь, скажите что-нибудь по этом поводу. Нужно просто передать управление в область стека, в которой выполниться ret и вернет управление программе.

Код, вообще говоря, нельзя выполнять на стековых страничках (rw). Но на кривых микропроцессорах (i386 и клоны) это возможно, потому что Intel не различает атрибут read и execute.

Здравствуйте, Murr, Вы писали:

M>Код, вообще говоря, нельзя выполнять на стековых страничках (rw). Но на кривых микропроцессорах (i386 и клоны) это возможно, потому что Intel не различает атрибут read и execute.

Странички не различает, сегменты различает. Вроде так. Правда, эти сегменты, по-моему, никто полноценно не использует — ограничиваются страничками.

Здравствуйте, WFrag, Вы писали:

>Правда, эти сегменты, по-моему, никто полноценно не использует — ограничиваются страничками.

Угу... потому как неудобно и несовместимо ни с одной архитектурой MMU не-Intel процессоров.

Здравствуйте, Evengar.

Ответный вотрос. Вы пишете на Асме в чистую или используете:
__asm {
...
}
ели последнее в VisualStudio, то это полная лажа, потому что написанное в последнем не как не совпадает с действительностью, т.к. я писал:
__asm {
...
push ah
...
push al
...
}

Меня обругали Warning'ами и прога не работала.

BYTE arrStack[] = { 0x90, 0xC3 };
LPVOID lpStack;
lpStack = &arrStack;
_asm call lpStack;

У меня работает ...

Здравствуйте, Denisuk, Вы писали:

D>Здравствуйте, Evengar.

D>Ответный вотрос. Вы пишете на Асме в чистую или используете:

__asm {
...
push ah
...
push al // Это как?

Разве так можно? Я думал, можно только 16- или 32-битные значения в стек пихать )в зависимости от режима)
...
}

Здравствуйте, WFrag, Вы писали:

WF>Здравствуйте, Denisuk, Вы писали:

D>>Здравствуйте, Evengar.

D>>Ответный вотрос. Вы пишете на Асме в чистую или используете:

WF>__asm {
WF> ...
WF> push ah
WF> ...
WF> push al // Это как?

Разве так можно? Я думал, можно только 16- или 32-битные значения в стек пихать )в зависимости от режима)
WF> ...
WF>}

Пихать можно и 16, и 32 бита в любом режиме. Но вот "push ah" весьма странная операция, я даже задумался с какой "действительностью" не совпадает код внутри __asm.

Здравствуйте, <Аноним>, Вы писали:

А>Пихать можно и 16, и 32 бита в любом режиме.

Т.е в 32-разрядном защищенном режиме можно делать так:

push ax

Мне почему-то казалось, что нельзя

Здравствуйте, WFrag, Вы писали:

WF>Здравствуйте, <Аноним>, Вы писали:

А>>Пихать можно и 16, и 32 бита в любом режиме.

WF>Т.е в 32-разрядном защищенном режиме можно делать так:

WF>

WF>push ax
WF>

WF>

Мне почему-то казалось, что нельзя

Никакой проблемы нет. Если сегмент кода 16-битный, то

  push   ax    ; 50h
  push   eax   ; 66h 50h

а если сегмент кода 32-битный

  push   ax    ; 66h 50h
  push   eax   ; 50h

то есть в код просто добавляется префикс, указывющий размер операнда.

Вот небольшой пример.

#include <stdio.h>

void __declspec(naked) Dummy()
{
 __asm
 {
      push  eax
      push  ax
      pop   eax
      pop   ax
      nop
  }
 }

void main()
{
 unsigned char *p = (char *)Dummy;
 unsigned int   i = 0;

 while (*p != 0x90) printf("%04X: %02Xh\n", i ++, *p ++);

 }

Здравствуйте, Аноним, Вы писали:

WF>>__asm {
WF>> ...
WF>> push ah
WF>> ...
WF>> push al // Это как?

Разве так можно? Я думал, можно только 16- или 32-битные значения в стек пихать )в зависимости от режима)
WF>> ...
WF>>}

А>Пихать можно и 16, и 32 бита в любом режиме. Но вот "push ah" весьма странная операция, я даже задумался с какой "действительностью" не совпадает код внутри __asm.

push ah, push al — это недокументированные команды процессора 8086

Потом эти команды исчезли.
В стек помещалосб в любом случае слово, а не байт.

	От:	Evengar
	Дата:	06.08.03 13:42
	Оценка:

	От:	masta
	Дата:	06.08.03 13:54
	Оценка:

	От:	masta
	Дата:	06.08.03 13:58
	Оценка:

	От:	Murr
	Дата:	06.08.03 14:38
	Оценка:

	От:	WFrag
	Дата:	06.08.03 17:23
	Оценка:

От:	Plutonia Experiment	http://blogs.rsdn.org/ikemefula
Дата:	08.09.03 07:52
Оценка:

	От:	Аноним
	Дата:	07.08.03 07:02
	Оценка:

	От:	Аноним
	Дата:	07.08.03 13:10
	Оценка: