C++入口不是main?知乎上打起来了!

开发 后端
PE文件中有一个叫OEP的术语便是指的程序入口点。所谓入口点顾名思义就是主线程最开始执行的地方,许多病毒加壳技术其中一点就是对这个OEP进行处理。

[[427646]]

知乎上居然有人为了C++的入口函数到底是什么打了起来!

至于打的有多激烈我就不知道了,我们来关注这个问题本身。

你说main函数是入口,那main是被谁调用的呢?

他说mainCRTStartup是入口,那mainCRTStartup又是被谁调用的呢?

从进程创建说起

一切的一切,让我们从创建进程开始说起。

进程创建完成后,接着会创建主线程,这是进程中第一个开始执行代码的线程。

主线程创建后,就得到了时间片,开始参与系统的线程调度,那么程序从哪里开始执行呢?

在Windows平台,C++代码编译后的可执行文件叫PE文件。

PE文件中有一个叫OEP的术语便是指的程序入口点。所谓入口点顾名思义就是主线程最开始执行的地方,许多病毒加壳技术其中一点就是对这个OEP进行处理。

现在,我们来使用工具PEID来看一个程序(VC8.0编译)的OEP如图:

0x00011078乃是RVA(相对虚拟地址),要看在进程地址空间中真正的起始地址,还得加上PE文件的映射基址,默认为0x00400000,不过,可以通过编译器选项进行调整。不知道也没关系,将程序放入OllyDbg,在内存映射中可以看到程序的映射基址:

由图看到映射基址是0x00400000。

那么由前面所述,程序执行的第一条指令应该位于0x00400000 + 0x00011078 = 0x00411078。

没错,就是这样。

切换到OllyDbg的主窗口,我们发现了,程序确实初始停在了这里,并且这里是一条jmp指令。

我们到Jmp的目的地0x00411800去看看那里是什么东东?

这是什么东西?先卖个关子,总之,这里是程序进来之后真正做的第一件事。

main函数被谁调用?

换个思路,我们打开VS2008写一个简单的程序,程序做什么并不重要,我们要看它的启动原理。

注意看调用堆栈窗口,因为我是使用UNICODE编码环境,故_tmain()就是wmain(),如果是ANSI编码就是最开始学程序时的main()函数了。

以前写程序就想过一个问题,我们写的所有函数都会被我们自己直接或间接调用,但有一个函数例外,那就是main()函数。我们写了它但从不会去调用它,事实上也不可能去调用它。

从调用堆栈看到,我们的wmain函数是被_tmainCRTStartup函数调用的,这是个什么东西?再往前推是wmainCRTStartup调用的_tmainCRTStartup。这两个函数是做什么的,他们之间有什么关系?

双击调用堆栈里的项即可转到对应的源代码,我们可以发现,这两个函数是在crtexe.c文件中实现的。阅读源码可以发现,有四个启动函数分别是:

  • mainCRTStartup() ANSI + 控制台程序
  • wmainCRTStartup() UNICODE + 控制台程序
  • WinMainCRTStartup() ANSI + GUI程序
  • wWinMainCRTStartup() UNICODE + GUI程序

这一点在《windows核心编程》中也有提到。不过我们可以更进一步一窥它们的实现代码:

就这么简单,先调用了__security_init_cookie(),然后是我们前面看到的_tmainCRTStartup()。

第一个函数是做什么的呢?这个是微软在VS2003后引入的防止缓冲区溢出攻击的技术。简单的说就是在调用函数的时候在栈里安装一个随机的cookie值,这一cookie值在内存的一个地方有备份,函数调用完成后需要检测这个cookie和备份的一不一致,以此来判断有没有栈溢出发生。那么,这个函数就是来初始化这个备份区域的数据的。

然后第二个函数调用_initterm()进行全局变量、对象初始化。之后,我们可以看到才是真正调用了我们的main()/wmain()/WinMain()/wWinMain()的地方。饶了一大圈,回答了开始的疑问了。

这两个函数是编译器在生成可执行文件的时候给我们链接进来的。

至此,我们来看看第一个函数wmainCRTStartup的汇编代码。如图:

请注意和我们前面使用OllyDbg调试时的图对比:

发现没有?一样的!我们之前留的那个问题的答案想必已经出来了:

程序一进来从OEP处执行了jmp指令,这条指令转向了wmainCRTStartup开始了程序真正的起点!

结论

编译生成的exe文件,双击运行后,建立新进程的地址空间,然后主线程开始运行。

程序一进来通过jmp指令来到前面列出的四个启动函数,它们再调用最终的启动器_tmainCRTStartup。

这个启动器干了几件大事,分别是,使用GetStartupInfo获取进程启动信息,然后使用_inititem初始化全局变量和对象,最后调用我们main、wmain、WinMain、wWinMain进入我们的程序。。。

所以,从编程语言的角度来说,main函数就是入口函数,这一点毋庸置疑。至于mainCRTStartup,则是VC++这个编译器额外增加的包含C/C++运行时库初始化操作在内的封装函数,可以算可执行文件的入口函数。

说明:这里谈到的是使用VC2008编译器生成的exe文件形态(不同的VC版本可能情况有所不同),至于Linux上的ELF文件,情况则更不一样。

最后给大家留一个思考题:

进程创建后,又是从哪里进入到OEP的呢?

前面我们说了,OEP是程序运行的入口,是一切的起点。那在进入入口之前,进程又在干什么?

这个问题有点类似于:在宇宙大爆炸之前,世界是怎么样的?

本文转载自微信公众号「编程技术宇宙」,可以通过以下二维码关注。转载本文请联系编程技术宇宙公众号。

 

责任编辑:武晓燕 来源: 编程技术宇宙
相关推荐

2022-03-30 10:00:22

大厂流量互联网

2024-01-09 11:52:23

Rust开发函数

2010-01-19 14:28:41

C++ main()函

2010-01-27 13:31:10

C++ main()函

2019-11-25 11:03:19

互联网数据技术

2023-11-27 16:26:20

mainC语言

2018-12-13 11:32:55

知乎裁员调整

2023-09-24 23:44:10

C++类型安全

2017-06-16 21:00:02

Python爬虫

2017-11-20 10:21:17

量子点显示器OLED

2017-05-24 15:07:19

Python爬虫爬取

2023-06-27 07:20:45

2023-07-18 18:14:51

云原生软件架构

2011-04-19 17:36:12

C++

2015-03-20 10:00:34

LinuxCC++

2015-11-04 09:06:11

知乎融资腾讯

2020-06-11 18:35:23

C++编程语言

2015-07-21 15:22:20

点赞仿知乎按钮动画

2024-09-20 08:20:20

2019-11-08 09:47:16

知乎Python数据
点赞
收藏

51CTO技术栈公众号