为什么80%的码农都做不了架构师?>>> 
由于hook时要线程安全,考虑每条线程的堆栈放对应的数据,于是找了一下网上的说法是默认2M,实际情况却不是这样的。在win10下,使用gcc,vc++,delphi,3种编译器默认编译进行了测试。
真实大小是1A0000-A3000=FD000(1,036,288) 大约1M,这是堆栈满了重新分配后的大小,必须跨越栈底堆栈才会重新分配,我想这部分应该在内核,暂时还没研究。而默认大小实际是5000(20480)也就是20K,想要增加到1M,必须多次跨越栈底,每次增加1000(4096),也就是4K,一直到A3000(注意这里是例子中的偏移,实际情况可能不一样,比如另一个表现为500000-403000=FD000)就可以停止了,之后你就可以使用1M的堆栈了。需要注意的是,直接把esp改过去是行不通的,会造成程序崩溃,必须要多次跨越栈底。
程序里应该这么做:
FD-5=F8
也就是说要做下面这个循环F8次。
mov esp,[dword fs:0x8]
push eax
jmp XMalExe.009176D6
说一下栈顶,跨越栈顶没有问题,但是操作系统并不会更改TEB中的数据,所以这种做法无法增加堆栈大小。
再说一下线程安全,直接在堆栈中分配的局部变量当然是安全的,但是指针不安全,如果每条线程分配一个对象,这种面向对象也是安全的,全局变量是不安全的,而不同线程使用同一个对象也是不安全的。