注:不知道说“偷调函数”说法合不合适,在此也就这样一说了~
主要有两点:
一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者
二、在 1 的基础上,在WinDbg下通过修改EIP实现如下一个功能:
有两个函数foo()和hack(),在main函数中调用foo,但是在foo执行过程中,通过修改EIP来调用hack函数,最后再回到main中foo函数的下一条语句
一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者
程序如下(很简单):
1 #include "stdafx.h"
2
3 int MyAdd(int a,int b)
4 {
5 return a+b;
6 }
7
8 void main()
9 {
10 MyAdd(1,2);
11 }
反汇编后如下:
void main()
11: {
00401080 push ebp
00401081 mov ebp,esp
00401083 sub esp,40h
00401086 push ebx
00401087 push esi
00401088 push edi
00401089 lea edi,[ebp-40h]
0040108C mov ecx,10h
00401091 mov eax,0CCCCCCCCh
00401096 rep stos dword ptr [edi]
12: MyAdd(1,2);
00401098 push 2
0040109A push 1
;程序执行到这,堆栈内容如下(至于为什么是这,请参看《c++反汇编代码分析--函数调用》)
0040109C call @ILT+15(hook) (00401014);
--------------------------------开始转入MyAdd函数去执行--------------------------
;在执行0040109C call @ILT+15(hook) (00401014)到这句时,F11单步调试,会依次执行下边的反汇编代码:
00401014 jmp MyAdd (00401030)
;执行到此句时,ESP和EBP还是原来的值吗?
;我们可能会觉得,现在也没有push操作,ESP和EBP应该还是应该如上图一样没有变化吧
;非也,其实执行到这一句时,已经有一个自动的入栈操作,入栈的是0040109C call @ILT+15(hook) (00401014)
;这条指令的下一条指令的地址,具体如下图所示:
;执行到0040109C call @ILT+15(hook) (00401014)这条语句时,如图:
;执行到0040109C call @ILT+15(hook) (00401014)这条语句,按F11后,如下图:
;此时的堆栈情况如下图
;之后,转入下边的程序执行
5: int MyAdd(int a,int b)
6: {
00401030 push ebp
……
}
……
;执行过ret后,会自动将堆栈中retAddr的值弹给EIP,从而完成从被调用函数MyAdd转到main函数中去执行。
;这一点十分重要,也就是 二 的理论基础了吧。
00401053 pop ebp
00401054 ret
--------------------------MyAdd子函数执行完毕,在此进入main函数执行------------------------------------
004010A1 add esp,8
13: }
004010A4 pop edi
......
二、在 一 的基础上,在WinDbg下通过修改EIP实现如下一个功能:......
程序如下:
#include <iostream>
using namespace std;
void foo()
{
printf("--foo--\n");
}
void hook()
{
printf("--hook--\n");
}
void main()
{
foo();
hook();
}
理论如图:
输出为:
--foo--
--hack--
--hack--