一个简单的桩实现类:

#define JMPCODE_LENGTH 5            //x86 平坦内存模式下,绝对跳转指令长度
#define JMPCMD_LENGTH 1 //机械码0xe9长度
#define JMPCMD 0xe9 //对应汇编的jmp指令 // 一个简化的打桩类的实现
class XSimpleStub
{
public:
explicit XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread = false);
~XSimpleStub(); private:
// 源函数地址
void * str_func_addr;
// 是否打桩成功
bool is_stub_succ;
// 是否打桩成功
bool need_lock_other_thread_;
// 源指令数据的备份
unsigned char str_instruct_back[JMPCODE_LENGTH];
};

函数就只有两个函数体,分别如下

#include <tlhelp32.h>

BOOL LockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
SuspendThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} BOOL UnlockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
ResumeThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} static void __inner_memcpy(unsigned char* pDest, unsigned char* pSrc, unsigned int count)
{
while(count > ) {
*pDest++ = *pSrc++;
count --;
}
} XSimpleStub::XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread):
str_func_addr(pOrigFunc), is_stub_succ(false), need_lock_other_thread_(need_lock_other_thread)
{
// 源地址、目标地址需要进行一次判定
if (nullptr != pOrigFunc && nullptr != pNewFunc)
{
DWORD ProtectVar; // 保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 // 取得对应内存的原始属性
if ( != VirtualQuery(pOrigFunc, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, PAGE_READWRITE, &MemInfo.Protect))
{
// 备份原数据,防止自身需要使用memcpy,不能使用类似接口
__inner_memcpy((unsigned char*)str_instruct_back, (unsigned char*)pOrigFunc, JMPCODE_LENGTH); // 修改目标地址指令为 jmp pDestFunc
*(unsigned char*)pOrigFunc = JMPCMD; //拦截API,在函数代码段前面注入jmp xxx
*(DWORD*)((unsigned char*)pOrigFunc + JMPCMD_LENGTH) = (DWORD)pNewFunc - (DWORD)pOrigFunc - JMPCODE_LENGTH; // 改回原属性
VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, MemInfo.Protect, &ProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), pOrigFunc, JMPCODE_LENGTH); is_stub_succ = true;
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
UnlockOtherThread();
}
}
}
} XSimpleStub::~XSimpleStub()
{
if (is_stub_succ)
{
DWORD TempProtectVar; //临时保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 if ( != VirtualQuery(str_func_addr, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, PAGE_READWRITE,&MemInfo.Protect))
{
// 恢复代码段
__inner_memcpy((unsigned char*)str_func_addr, (unsigned char*)str_instruct_back, JMPCODE_LENGTH); //改回原属性
VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, MemInfo.Protect,&TempProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), str_func_addr, JMPCODE_LENGTH);
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
UnlockOtherThread();
}
}
} }

Linux下一样有类似技术,可以参考IBM的一个文档:

https://www.ibm.com/developerworks/cn/linux/l-knldebug/index.html

这其中的差别在跳转指针的设计上,Linux上,是使用了7个字节,并不需要计算原函数、新函数的地址距离

整个替换流程的实现分为如下几个步骤:

()    替换指令码:
b8 /*movl $, $eax;这里的$0将被具体替换函数的地址所取代*/
ff e0 /*jmp *$eax ;跳转函数*/
将上述7个指令码存放在一个字符数组中:
replace_code[] () 用替换函数的地址覆盖第一条指令中的后面8个0,并保留原来的指令码:
memcpy (orig_code, func, ); /* 保留原函数的指令码 */
*((long*)&replace_code[])= (long) replace_func; /* 赋替换函数的地址 */
memcpy (func, replace_code, ); /* 用新的指令码替换原函数指令码 */ () 恢复过程用保留的指令码覆盖原函数代码:
memcpy (func, orig_code, )

Linux下,实现代码页属性修改使用函数接口:mprotect

而相应的Linux下线程挂起、恢复使用如下接口:

#include <signal.h>
pthread_kill(ThreadID, SIGSTOP);  // suspend
pthread_kill(ThreadID, SIGCONT);  // resume

通过查看/proc/pid/task得知一个任务下的所有线程数

Windows下对函数打桩,及Linux类似技术的更多相关文章

  1. windows 下实现函数打桩:拦截API方式

    windows 下实现函数打桩:拦截API方式            近期由于工作须要,開始研究函数打桩的方法. 由于不想对project做过多的改动,于是放弃了使用Google gmock的想法. ...

  2. windows下的c语言和linux 下的c语言以及C标准库和系统API

    1.引出我们的问题? 标准c库都是一样的!大家想必都在windows下做过文件编程,在linux下也是一样的函数名,参数都一样.当时就有了疑问,因为我们非常清楚 其本质是不可能一样的,源于这是俩个操作 ...

  3. 转 windows下安装pycharm并连接Linux的python环境 以及 windows 下notepad ++编辑 linux 的文件

    ######sample 1:windows下安装pycharm并连接Linux的python环境 https://www.cnblogs.com/junxun/p/8287998.html wind ...

  4. Windows 下目录及文件向Linux同步

    本文解决的是Windows 下目录及文件向Linux同步的问题,Windows向 Windows同步的请参考:http://www.idcfree.com/article-852-1.html 环境介 ...

  5. windows下的mysql迁移到linux下

    最近做毕业设计,需要把windows下的mysql移植到linux下 曾经有过在window下移植mysql数据库的经验,只需要把msql的数据文件复制到另一台安装mysql的机器的数据存放位置,然后 ...

  6. 将Windows下的文件同步到Linux下

    需求:把Windows下的某些文件自动传送到Linux指定目录下 实现: 1. Windows下安装 WinSCP工具,并把Liunx服务器信息保存 2. 编写脚本,实现双击工具就把Windows下的 ...

  7. Windows下python3登陆和操作linux服务器

    一.环境准备 python3远程连接需要用到pycrytodome和paramiko库,其中后者依赖前者,所以按照顺序来安装 1. 安装pycrytodome 1 pip install pycryt ...

  8. windows下安装pycharm并连接Linux的python环境

    1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzjlz320/p/7110186.html 2. 添加配置连接远程服 ...

  9. [转载+补充][PY3]——环境配置(2)——windows下安装pycharm并连接Linux的python环境

    原文地址:<你所会用到的Python学习环境和工具> 1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzj ...

随机推荐

  1. JDK12的安装搭建

    JDK12的安装搭建 一.JDK下载 ​ 1.JDK官网下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk12-down ...

  2. mongodb,robomongo 数据查询

    可视化管理工具:Robomongo 是开源,免费的MongoDB管理工具,下载地址:Robomongo下载 1.  基本查询:    构造查询数据.    > db.test.findOne() ...

  3. Interviewe HDU - 3486 (ST表+枚举 )(非二分,看下这个数据、)

    YaoYao has a company and he wants to employ m people recently. Since his company is so famous, there ...

  4. 条件随机场CRF介绍

    链接:https://mp.weixin.qq.com/s/BEjj5zJG3QmxvQiqs8P4-w softmax CRF主要用于序列标注问题,可以简单理解为是给序列中的每一帧,既然是分类,很自 ...

  5. VMware虚拟机中的CentOS7安装Nginx后本机无法访问的解决办法

    VMware虚拟机中的CentOS7安装Nginx后本机无法访问的解决办法 在linux上安装nginx 请参考:Linux Centos7 安装 nginx 在虚拟机centos7上安装nginx之 ...

  6. Codeforces Round #593 (Div. 2) C. Labs A. Stones

    题目:https://codeforces.com/contest/1236/problem/A 思路:两种操作收益都是3 且都会消耗b 操作2对b消耗较小 则可优先选择操作2 再进行操作1 即可得到 ...

  7. 【JAVA】Maven profiles控制多环境数据源日志打包(转载)

    https://blog.csdn.net/qq_17213067/article/details/81661295

  8. 你可能用到的Spring工具类?

    现在绝大部分项目都已经拥抱Spring生态,掌握Spring常用的工具类,是非常重要,零成本增加编码效率. 一.常用工具类 ObjectUtils org.springframework.util.O ...

  9. webpack命令:Module build failed(from ./node_modules/babel-loader/lib/index.js)/405/错误解决

    在项目中运行的时候出现报错,错误为Module build failed (from ./node_modules/babel-loader/lib/index.js) 解决方案: 控制台输入  np ...

  10. javaScript事件--事件流

    一.事件 事件是文档或者浏览器窗口中发生的,特定的交互瞬间. 事件是用户或浏览器自身执行的某种动作,如click,load和mouseover都是事件的名字. 事件是javaScript和DOM之间交 ...