注:不知道说“偷调函数”说法合不合适,在此也就这样一说了~
主要有两点:
一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者
二、在 1 的基础上,在WinDbg下通过修改EIP实现如下一个功能:
有两个函数foo()和hack(),在main函数中调用foo,但是在foo执行过程中,通过修改EIP来调用hack函数,最后再回到main中foo函数的下一条语句
一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者
程序如下(很简单):
1 #include "stdafx.h"
2
3 int MyAdd(int a,int b)
4 {
5 return a+b;
6 }
7
8 void main()
9 {
10 MyAdd(1,2);
11 }
反汇编后如下:
void main()
11: {
00401080 push ebp
00401081 mov ebp,esp
00401083 sub esp,40h
00401086 push ebx
00401087 push esi
00401088 push edi
00401089 lea edi,[ebp-40h]
0040108C mov ecx,10h
00401091 mov eax,0CCCCCCCCh
00401096 rep stos dword ptr [edi]
12: MyAdd(1,2);
00401098 push 2
0040109A push 1
;程序执行到这,堆栈内容如下(至于为什么是这,请参看《c++反汇编代码分析--函数调用》)
![](http://b33.photo.store.qq.com/http_imgload.cgi?/rurl4_b=70286485148601edbd61026cd37c52d15ef32f706b6a18916a47db7b808599c486fa70d28b0e963b2d394bf0025f594f2b2fdccab88dcc93068add353a313b199d01d8071a87a6c236c9af1274ac946ece5dfab5&a=40&b=33)
0040109C call @ILT+15(hook) (00401014);
--------------------------------开始转入MyAdd函数去执行--------------------------
;在执行0040109C call @ILT+15(hook) (00401014)到这句时,F11单步调试,会依次执行下边的反汇编代码:
00401014 jmp MyAdd (00401030)
;执行到此句时,ESP和EBP还是原来的值吗?
;我们可能会觉得,现在也没有push操作,ESP和EBP应该还是应该如上图一样没有变化吧
;非也,其实执行到这一句时,已经有一个自动的入栈操作,入栈的是0040109C call @ILT+15(hook) (00401014)
;这条指令的下一条指令的地址,具体如下图所示:
;执行到0040109C call @ILT+15(hook) (00401014)这条语句时,如图:
![](http://b33.photo.store.qq.com/http_imgload.cgi?/rurl4_b=70286485148601edbd61026cd37c52d1346bb91da6836d0fb877bc356fb96293ee3bf824c9115d1c9f7f523e3165c4521c0b26202f7053436247f5c013559b7a3bef653bc41b9b54a5f7d367fa149565818261ba&a=34&b=33)
;执行到0040109C call @ILT+15(hook) (00401014)这条语句,按F11后,如下图:
![](http://b34.photo.store.qq.com/http_imgload.cgi?/rurl4_b=70286485148601edbd61026cd37c52d1ef75e298bc9dde26a7725dc89a4b983cdf13d21465b5a28edb1b7b79e15e107c22238ce195153210c795d889ee5137e627d70d3b1251bb866ffa9ba801e7a76d7c9a35bc&a=33&b=34)
;此时的堆栈情况如下图
![](http://b40.photo.store.qq.com/http_imgload.cgi?/rurl4_b=70286485148601edbd61026cd37c52d196c195a0b670bc883573544c690e135ff80830f005bdcfba8b8f37fd29e3cd2192456ff0ef183d735f0b7353ddb10ecec25b760d13e8b2e95deb0d0adb5af7697075e668&a=34&b=40)
;之后,转入下边的程序执行
5: int MyAdd(int a,int b)
6: {
00401030 push ebp
……
}
……
;执行过ret后,会自动将堆栈中retAddr的值弹给EIP,从而完成从被调用函数MyAdd转到main函数中去执行。
;这一点十分重要,也就是 二 的理论基础了吧。
00401053 pop ebp
00401054 ret
--------------------------MyAdd子函数执行完毕,在此进入main函数执行------------------------------------
004010A1 add esp,8
13: }
004010A4 pop edi
......
二、在 一 的基础上,在WinDbg下通过修改EIP实现如下一个功能:......
程序如下:
#include <iostream>
using namespace std;
void foo()
{
printf("--foo--\n");
}
void hook()
{
printf("--hook--\n");
}
void main()
{
foo();
hook();
}
理论如图:
![](http://b40.photo.store.qq.com/http_imgload.cgi?/rurl4_b=70286485148601edbd61026cd37c52d1164d52141a6ac774d3d820db37ec9834bca00320232e6f83b603622a2ef295f715b07af5cfbbdeac989f3e1fc5ab085713a61231f8b73aab27140086e92b68df0860b03f&a=40&b=40)
输出为:
--foo--
--hack--
--hack--