再求一段代码的解释！

semomo

这是flw2网友曾经贴的例子（引用一下不知道是否可以：））
int main()
{
        int i[1];
        i[-1]=12;
        exit(0); //删除这个看看结果
}

曾经有网友dennie对该代码进行了解释，可惜后来不小心被删了（心痛阿！！！）
原贴在http://bbs.chinaunix.net/viewthr ... &highlight=exit

十分希望有高人能再指点一下，万分谢谢
！！

mik

*((int *)&i + (-1 * sizeof(int))) = 12;

结果是没结果

[ 本帖最后由 mik 于 2006-8-17 22:06 编辑 ]

whyglinux

原帖由 semomo 于 2006-8-17 21:54 发表
这是flw2网友曾经贴的例子（引用一下不知道是否可以：））
int main()
{
        int i[1];
        i[-1]=12;
        exit(0); //删除这个看看结果
}

数组越界访问，结果未定义。

whyglinux

原帖由 mik 于 2006-8-17 22:04 发表
*((int *)&i + (-1 * sizeof(int))) = 12;

结果是没结果

表达式 i[-1] = 12 应该等价于 *(i - 1) = 12。注意不应该再用 -1 乘以 sizeof(int)。

i 是一个数组，表示第一个元素的地址，所以把这个地址写成 (int *)&i 不可取，直接用 i 表示即可。

谷歌之声

数组是从0开始的，哪里有-1啊。

mik

原帖由 whyglinux 于 2006-8-17 22:37 发表


表达式 i[-1] = 12 应该等价于 *(i - 1) = 12。注意不应该再用 -1 乘以 sizeof(int)。

i 是一个数组，表示第一个元素的地址，所以把这个地址写成 (int *)&i 不可取，直接用 i 表示即可。

呵呵~ 犯错误了，没仔细想过。

原意是想：
&i + (-1 * sizeof(int))  这样表达会让LZ清晰一些。

不料 加上 *（...）之后， 结果变成了地址值 i - 16 了。

没细想，误导人了， 还好，有你指出错误

[ 本帖最后由 mik 于 2006-8-17 22:56 编辑 ]

默难

看这个代码的样子似乎是想讲解一下程序运行时栈中的结构。

我以前写过这样一个程序，LZ可以看一下：

1. 
   
2. #include <stdio.h>
   
3. int funa(void)
   
4. {
   
5.         printf("AAAAA");
   
6.         exit(3);
   
7.         return 0;
   
8. }
   
9. int funb(int (*p)(void))
   
10. {
    
11.         char *h;
    
12.         h = &h;
    
13.         /* point to the first variable */
    
14.         h += sizeof(char *);
    
15.         /* point to the old ebp */
    
16.         h += sizeof(char *);
    
17.         /* point to the return address */
    
18.         (*(int (**)(void))(h)) = p;
    
19.         return 0;
    
20. }
    
21. int main()
    
22. {
    
23.         funb(funa);
    
24.         return 0;
    
25. }
    

复制代码

类似代码在网上也有很多。
我这个代码编译执行后的结果如下：

1. 
   
2. [monnand@monnand-host lecture]$ gcc overflow.c
   
3. overflow.c: In function `funb':
   
4. overflow.c:11: warning: assignment from incompatible pointer type
   
5. [monnand@monnand-host lecture]$ ./a.out
   
6. AAAAA[monnand@monnand-host lecture]$
   

复制代码

[ 本帖最后由 默难 于 2006-8-18 00:12 编辑 ]

giniouswr

原帖由 whyglinux 于 2006-8-17 22:37 发表


表达式 i[-1] = 12 应该等价于 *(i - 1) = 12。注意不应该再用 -1 乘以 sizeof(int)。

i 是一个数组，表示第一个元素的地址，所以把这个地址写成 (int *)&i 不可取，直接用 i 表示即可。

对于32位机来说 *(i-1)=12 是错的 而(-1 * sizeof(int)) 才是严密的

JohnBull

原帖由 giniouswr 于 2006-8-18 09:12 发表
对于32位机来说 *(i-1)=12 是错的 而(-1 * sizeof(int)) 才是严密的

whyglinux是对的

[ 本帖最后由 JohnBull 于 2006-8-18 09:49 编辑 ]

柳五随风

main函数的返回地址被改写成了0x00000012,则main返回后该process crash.