看了之後，覺得還是蠻有趣的，貌似老早以前的蠕蟲病毒就是利用C語言的邊界檢查的的缺點(現在也存在啊，C語言的哲學思想：相信程式設計師)，使客戶端的棧緩衝區溢位，使客戶的子程式返回時，返回到自己的病毒或者木馬程式上去，而不是原來進去的地方。這在MCU程式設計裡面叫“程式跑飛了”。 不過貌似蠻難發生的，那就構造一個，看看這發生的過程。這樣以後如果發生了，心裡有個譜。 我們知道，在作業系統中，每個執行緒都有自己的stack，當然，對RTOS來說，那就是任務。這裡為了方便說明，僅僅以裸機程式，即相當於一個執行緒，整個程式只有一個stack。 先看看MSVC下面的過程：  visual studio 2008

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

#include <stdio.h> static void my_func(void) {     printf("stack overflow success!"); } void fun(int a, int b, int c) {     char buffer1[5];     int *ret;     ret = ( int* )(buffer1 + 20);   //找到返回地址ret(ret is short for return)     *ret = (int)my_func;            //跳過x = 1指令，即使ret返回的是我指定的地址程式 } void main() {     int x;     x = 0;     fun(1,2,3);     x = 1;     printf("%d\n",x);     getchar(); }

這裡的結果就是在fun函式退出的時候，不返回到“x=1”這條指令，而是去執行我指定的程式my_func。
並且因為沒有進入此函式的入棧儲存，故返回時發生如下錯誤。
先看看從主函式到進入子函式的過程中，哪些東西需要儲存到stack中，以便子函式結束之後可以回到原來的軌道上來。直接上彙編程式碼看看就曉得了。 Step 1.

 再進入子函式之前，先把函式的引數從後至前push到stack中
此時，stack如下所示：              1     2     3
<------ [    ][    ][    ]
堆疊頂部           堆疊底部 Step 2. 然後去呼叫函式符號“_fun”，也就是41128Fh這個地址，這個地址上面是一條jmp指令，走你--->
此時，執行跳轉指令jmp時，ret地址自動push到stack中，此時，stack如下所示：             0x00416510 1     2     3
<------ [                ][    ][    ][    ]
堆疊頂部                堆疊底部 Step 3. 再將子函式的區域性變數push到stack中（因為編譯器就是那麼做的），那麼我們通過記憶體看看buffer1存在哪？
我們現在知道的是，返回的地址ret在buffer1之前被放入stack中的，但是具體多少呢？看程式碼應該可以看出來，這裡可以通過直接看記憶體也可以。先看看buffer1在記憶體的哪個位置。buffer1的地址是0x0012FE6C，並且在其附近找到了1,2,3，以及0x00416510 ，這裡就是stack的區域沒錯了。
此時的stack如下所示：              others buffer1  others  0x00416510 1     2     3
<------ [          ][           ][            ][                ][    ][    ][    ]
堆疊頂部                                         ret地址                    堆疊底部 Step 4. 數數吧，差多少，20個！然後就是改變這個地址中的值。也就是下面那兩條語句了。
本文木有講清楚的地方：對x86的彙編不熟悉，step3的那一大段不瞭解（下面看看ARM的，這個還稍微瞭解點，而且二者的區別還是蠻大的）；還有，為啥叫做棧溢位呢？感覺有點名不副實啊，這裡只是通過指標干擾了原來應該是編譯器該乾的事而已。 再看看ARM MDK的過程有和不同： 程式碼與MSVC的類似，只需要將20改成12即可。 Step 1. 看看進入子函式之前做些什麼？
ARM是直接將子函式的引數儲存在暫存器r0，r1，r2中。 Step 2.而後，在進入子函式之後，再將暫存器r2，r3，r4和lr push到stack中。這裡的r2-r4將會用來儲存區域性變數在操作過程中的使用。
比較下push {r2-r4,lr}（先壓lr）之後，stack中發生的變化，其中0x20000730是buffer1的地址。
找到返回地址類似的值“0x080003E5”，而返回地址是“ 0x080003E4”，稍微有點不同，咋會多1了呢？原因可能如下： “儘管PC的LSB總是0（因為程式碼至少是字對齊的），LR的LSB確實可讀可寫的。這是歷史遺留的產物。在以前，由位0來指示ARM/Thumb狀態。因為其他有些ARM處理器支援ARM和Thumb狀態並存，為了方便彙編程式移植，CM3需要允許LSB可讀可寫“——《P28》 ”然而，在分支時，無論是直接寫PC的值還是使用分支指令，都必須保證載入到PC的數值是奇數（即LSB=1），用以表明這是在Thumb狀態下執行。“——《P29》 看看此時暫存器的值，也是如此。
當然，PC值還是字對齊的，只是在PC進入分支的時候，LSB為1且儲存在LR中，等待出來的時候返回，並且後面的實驗表明，返回的PC也同樣是字對齊的。 總結：對於如何管理函式呼叫時，出棧入棧的引數以及返回地址，沒有統一的規定，交給編譯器廠商來實現，而且實現方式也大不相同，比如ARM具有較多的通用暫存器（14個），所以ARM的預設函式呼叫的前4個引數由硬體幫你入棧，可以減少函式呼叫時的時間。但是我們可以通過看內容的內容和彙編程式碼可以哨探各個不同編譯器的實現方式，我就看看麼，O(∩_∩)O~~~ 最後還有一個現象，就是在vs2008下回不來，回來的時候就會報錯，ARM下可以回來，那是因為ARM的自動入棧保護，它會由硬體來自動保護R0-R3，LR，PSR這些個暫存器，所以可以返回。 參考資料： 《ARM Cortex-M3權威指南》