Windows下对函数打桩,及Linux类似技术
一个简单的桩实现类:
#define JMPCODE_LENGTH 5 //x86 平坦内存模式下,绝对跳转指令长度
#define JMPCMD_LENGTH 1 //机械码0xe9长度
#define JMPCMD 0xe9 //对应汇编的jmp指令 // 一个简化的打桩类的实现
class XSimpleStub
{
public:
explicit XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread = false);
~XSimpleStub(); private:
// 源函数地址
void * str_func_addr;
// 是否打桩成功
bool is_stub_succ;
// 是否打桩成功
bool need_lock_other_thread_;
// 源指令数据的备份
unsigned char str_instruct_back[JMPCODE_LENGTH];
};
函数就只有两个函数体,分别如下
#include <tlhelp32.h> BOOL LockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
SuspendThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} BOOL UnlockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
ResumeThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} static void __inner_memcpy(unsigned char* pDest, unsigned char* pSrc, unsigned int count)
{
while(count > ) {
*pDest++ = *pSrc++;
count --;
}
} XSimpleStub::XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread):
str_func_addr(pOrigFunc), is_stub_succ(false), need_lock_other_thread_(need_lock_other_thread)
{
// 源地址、目标地址需要进行一次判定
if (nullptr != pOrigFunc && nullptr != pNewFunc)
{
DWORD ProtectVar; // 保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 // 取得对应内存的原始属性
if ( != VirtualQuery(pOrigFunc, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, PAGE_READWRITE, &MemInfo.Protect))
{
// 备份原数据,防止自身需要使用memcpy,不能使用类似接口
__inner_memcpy((unsigned char*)str_instruct_back, (unsigned char*)pOrigFunc, JMPCODE_LENGTH); // 修改目标地址指令为 jmp pDestFunc
*(unsigned char*)pOrigFunc = JMPCMD; //拦截API,在函数代码段前面注入jmp xxx
*(DWORD*)((unsigned char*)pOrigFunc + JMPCMD_LENGTH) = (DWORD)pNewFunc - (DWORD)pOrigFunc - JMPCODE_LENGTH; // 改回原属性
VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, MemInfo.Protect, &ProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), pOrigFunc, JMPCODE_LENGTH); is_stub_succ = true;
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
UnlockOtherThread();
}
}
}
} XSimpleStub::~XSimpleStub()
{
if (is_stub_succ)
{
DWORD TempProtectVar; //临时保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 if ( != VirtualQuery(str_func_addr, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, PAGE_READWRITE,&MemInfo.Protect))
{
// 恢复代码段
__inner_memcpy((unsigned char*)str_func_addr, (unsigned char*)str_instruct_back, JMPCODE_LENGTH); //改回原属性
VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, MemInfo.Protect,&TempProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), str_func_addr, JMPCODE_LENGTH);
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
UnlockOtherThread();
}
}
} }
Linux下一样有类似技术,可以参考IBM的一个文档:
https://www.ibm.com/developerworks/cn/linux/l-knldebug/index.html
这其中的差别在跳转指针的设计上,Linux上,是使用了7个字节,并不需要计算原函数、新函数的地址距离
整个替换流程的实现分为如下几个步骤: () 替换指令码:
b8 /*movl $, $eax;这里的$0将被具体替换函数的地址所取代*/
ff e0 /*jmp *$eax ;跳转函数*/
将上述7个指令码存放在一个字符数组中:
replace_code[] () 用替换函数的地址覆盖第一条指令中的后面8个0,并保留原来的指令码:
memcpy (orig_code, func, ); /* 保留原函数的指令码 */
*((long*)&replace_code[])= (long) replace_func; /* 赋替换函数的地址 */
memcpy (func, replace_code, ); /* 用新的指令码替换原函数指令码 */ () 恢复过程用保留的指令码覆盖原函数代码:
memcpy (func, orig_code, )
Linux下,实现代码页属性修改使用函数接口:mprotect
而相应的Linux下线程挂起、恢复使用如下接口:
#include <signal.h>
pthread_kill(ThreadID, SIGSTOP); // suspend
pthread_kill(ThreadID, SIGCONT); // resume
通过查看/proc/pid/task得知一个任务下的所有线程数
Windows下对函数打桩,及Linux类似技术的更多相关文章
- windows 下实现函数打桩:拦截API方式
windows 下实现函数打桩:拦截API方式 近期由于工作须要,開始研究函数打桩的方法. 由于不想对project做过多的改动,于是放弃了使用Google gmock的想法. ...
- windows下的c语言和linux 下的c语言以及C标准库和系统API
1.引出我们的问题? 标准c库都是一样的!大家想必都在windows下做过文件编程,在linux下也是一样的函数名,参数都一样.当时就有了疑问,因为我们非常清楚 其本质是不可能一样的,源于这是俩个操作 ...
- 转 windows下安装pycharm并连接Linux的python环境 以及 windows 下notepad ++编辑 linux 的文件
######sample 1:windows下安装pycharm并连接Linux的python环境 https://www.cnblogs.com/junxun/p/8287998.html wind ...
- Windows 下目录及文件向Linux同步
本文解决的是Windows 下目录及文件向Linux同步的问题,Windows向 Windows同步的请参考:http://www.idcfree.com/article-852-1.html 环境介 ...
- windows下的mysql迁移到linux下
最近做毕业设计,需要把windows下的mysql移植到linux下 曾经有过在window下移植mysql数据库的经验,只需要把msql的数据文件复制到另一台安装mysql的机器的数据存放位置,然后 ...
- 将Windows下的文件同步到Linux下
需求:把Windows下的某些文件自动传送到Linux指定目录下 实现: 1. Windows下安装 WinSCP工具,并把Liunx服务器信息保存 2. 编写脚本,实现双击工具就把Windows下的 ...
- Windows下python3登陆和操作linux服务器
一.环境准备 python3远程连接需要用到pycrytodome和paramiko库,其中后者依赖前者,所以按照顺序来安装 1. 安装pycrytodome 1 pip install pycryt ...
- windows下安装pycharm并连接Linux的python环境
1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzjlz320/p/7110186.html 2. 添加配置连接远程服 ...
- [转载+补充][PY3]——环境配置(2)——windows下安装pycharm并连接Linux的python环境
原文地址:<你所会用到的Python学习环境和工具> 1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzj ...
随机推荐
- VMware® Workstation 设置虚拟机目录和共享目录不要相同!
在设置VMware的首选项是,工作区中的虚拟机的默认地址和共享虚拟机的位置目录不要设置成一样的. 否则创建的虚拟机打不开.
- Vim安装插件支持 MarkDown 语法、实时预览等
使用 markdown-preview.vim 插件可以实时通过浏览器预览 markdown 文件 使用该插件需要 vim 支持py2/py3 安装 使用 vim-plug: 在 .vimrc 或 i ...
- linux 读取文本的最后几行
tail -n 100 filename 读取file的最后100行 tail: n. 尾巴:踪迹:辫子:燕尾服 vt. 尾随:装上尾巴 vi. 跟踪:变少或缩小 adj. 从后面而来的:尾部的 ...
- ui自动化之selenium操作(一)环境搭建
1. python安装: 前面步骤可以看到,这里就不赘述了(我们在这里安装的是python3) 2. selenium安装: 前面我们都已经安装好pip了,所以这里咱们直接进入到python安装路径的 ...
- python 反射、动态导入
1. 反射 hasattr(obj,'name') # 判断对象中是否含有字符串形式的方法名或属性名,返回True.False getattr(obj,'name',None) ...
- ng-model 和ng-bind的区别
也就是说 ng-model是绑定html输入的值-->到控制器的变量,输入值变了,控制器对应的变量message的值页变了,这样,在其他地方就可以使用这个变化后的值 ng-bind 是绑定控制器 ...
- Kendo UI for jQuery使用教程:入门指南
[Kendo UI for jQuery最新试用版下载] Kendo UI目前最新提供Kendo UI for jQuery.Kendo UI for Angular.Kendo UI Support ...
- chrome模拟慢速3G网络
谷歌调试控制台中network中可以设置,add为自定义
- java——SimpleDateFormat与DateTimeFormatter
https://www.jianshu.com/p/b212afa16f1f SimpleDateFormat不是线程安全的 DateTimeFormatter是线程安全的
- 如何导出不带.svn的文件夹
在工作环境中,有的时候需要将本地SVN服务器中的文件导出来,提交到另一个SVN服务器中去(比如做现场开发时,由于外网速度慢,项目组内部往往使用一个SVN服务器,但又同时又需要公司统一管理,定期提交到公 ...