Windows下对函数打桩,及Linux类似技术
一个简单的桩实现类:
#define JMPCODE_LENGTH 5 //x86 平坦内存模式下,绝对跳转指令长度
#define JMPCMD_LENGTH 1 //机械码0xe9长度
#define JMPCMD 0xe9 //对应汇编的jmp指令 // 一个简化的打桩类的实现
class XSimpleStub
{
public:
explicit XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread = false);
~XSimpleStub(); private:
// 源函数地址
void * str_func_addr;
// 是否打桩成功
bool is_stub_succ;
// 是否打桩成功
bool need_lock_other_thread_;
// 源指令数据的备份
unsigned char str_instruct_back[JMPCODE_LENGTH];
};
函数就只有两个函数体,分别如下
#include <tlhelp32.h> BOOL LockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
SuspendThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} BOOL UnlockOtherThread()
{
DWORD dwCurrPid = GetCurrentProcessId();
DWORD dwCurrTid = GetCurrentThreadId(); HANDLE hThread = NULL;
HANDLE hThreadSnap = NULL;
THREADENTRY32 te32 = { };
te32.dwSize = sizeof(THREADENTRY32); // 遍历线程
if (Thread32First(hThreadSnap, &te32))
{
do
{
if (te32.th32OwnerProcessID == dwCurrPid) {
if (te32.th32ThreadID != dwCurrTid){
// 获取句柄
hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te32.th32ThreadID);
if (NULL != hThread){
ResumeThread(hThread);
}
CloseHandle(hThread);
}
}
} while (Thread32Next(hThreadSnap, &te32));
}
CloseHandle(hThreadSnap); return TRUE;
} static void __inner_memcpy(unsigned char* pDest, unsigned char* pSrc, unsigned int count)
{
while(count > ) {
*pDest++ = *pSrc++;
count --;
}
} XSimpleStub::XSimpleStub(void* pOrigFunc, void* pNewFunc, bool need_lock_other_thread):
str_func_addr(pOrigFunc), is_stub_succ(false), need_lock_other_thread_(need_lock_other_thread)
{
// 源地址、目标地址需要进行一次判定
if (nullptr != pOrigFunc && nullptr != pNewFunc)
{
DWORD ProtectVar; // 保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 // 取得对应内存的原始属性
if ( != VirtualQuery(pOrigFunc, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, PAGE_READWRITE, &MemInfo.Protect))
{
// 备份原数据,防止自身需要使用memcpy,不能使用类似接口
__inner_memcpy((unsigned char*)str_instruct_back, (unsigned char*)pOrigFunc, JMPCODE_LENGTH); // 修改目标地址指令为 jmp pDestFunc
*(unsigned char*)pOrigFunc = JMPCMD; //拦截API,在函数代码段前面注入jmp xxx
*(DWORD*)((unsigned char*)pOrigFunc + JMPCMD_LENGTH) = (DWORD)pNewFunc - (DWORD)pOrigFunc - JMPCODE_LENGTH; // 改回原属性
VirtualProtect(MemInfo.BaseAddress, MemInfo.RegionSize, MemInfo.Protect, &ProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), pOrigFunc, JMPCODE_LENGTH); is_stub_succ = true;
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread) {
UnlockOtherThread();
}
}
}
} XSimpleStub::~XSimpleStub()
{
if (is_stub_succ)
{
DWORD TempProtectVar; //临时保护属性变量
MEMORY_BASIC_INFORMATION MemInfo; //内存分页属性信息 if ( != VirtualQuery(str_func_addr, &MemInfo, sizeof(MEMORY_BASIC_INFORMATION)))
{
// 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
LockOtherThread();
} // 修改页面为可写
if(VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, PAGE_READWRITE,&MemInfo.Protect))
{
// 恢复代码段
__inner_memcpy((unsigned char*)str_func_addr, (unsigned char*)str_instruct_back, JMPCODE_LENGTH); //改回原属性
VirtualProtect(MemInfo.BaseAddress,MemInfo.RegionSize, MemInfo.Protect,&TempProtectVar); // 修改后,还需要刷新cache
FlushInstructionCache(GetCurrentProcess(), str_func_addr, JMPCODE_LENGTH);
} // 如果需要锁住所有其他线程,则先执行锁定动作
if (need_lock_other_thread_) {
UnlockOtherThread();
}
}
} }
Linux下一样有类似技术,可以参考IBM的一个文档:
https://www.ibm.com/developerworks/cn/linux/l-knldebug/index.html
这其中的差别在跳转指针的设计上,Linux上,是使用了7个字节,并不需要计算原函数、新函数的地址距离
整个替换流程的实现分为如下几个步骤: () 替换指令码:
b8 /*movl $, $eax;这里的$0将被具体替换函数的地址所取代*/
ff e0 /*jmp *$eax ;跳转函数*/
将上述7个指令码存放在一个字符数组中:
replace_code[] () 用替换函数的地址覆盖第一条指令中的后面8个0,并保留原来的指令码:
memcpy (orig_code, func, ); /* 保留原函数的指令码 */
*((long*)&replace_code[])= (long) replace_func; /* 赋替换函数的地址 */
memcpy (func, replace_code, ); /* 用新的指令码替换原函数指令码 */ () 恢复过程用保留的指令码覆盖原函数代码:
memcpy (func, orig_code, )
Linux下,实现代码页属性修改使用函数接口:mprotect
而相应的Linux下线程挂起、恢复使用如下接口:
#include <signal.h>
pthread_kill(ThreadID, SIGSTOP); // suspend
pthread_kill(ThreadID, SIGCONT); // resume
通过查看/proc/pid/task得知一个任务下的所有线程数
Windows下对函数打桩,及Linux类似技术的更多相关文章
- windows 下实现函数打桩:拦截API方式
windows 下实现函数打桩:拦截API方式 近期由于工作须要,開始研究函数打桩的方法. 由于不想对project做过多的改动,于是放弃了使用Google gmock的想法. ...
- windows下的c语言和linux 下的c语言以及C标准库和系统API
1.引出我们的问题? 标准c库都是一样的!大家想必都在windows下做过文件编程,在linux下也是一样的函数名,参数都一样.当时就有了疑问,因为我们非常清楚 其本质是不可能一样的,源于这是俩个操作 ...
- 转 windows下安装pycharm并连接Linux的python环境 以及 windows 下notepad ++编辑 linux 的文件
######sample 1:windows下安装pycharm并连接Linux的python环境 https://www.cnblogs.com/junxun/p/8287998.html wind ...
- Windows 下目录及文件向Linux同步
本文解决的是Windows 下目录及文件向Linux同步的问题,Windows向 Windows同步的请参考:http://www.idcfree.com/article-852-1.html 环境介 ...
- windows下的mysql迁移到linux下
最近做毕业设计,需要把windows下的mysql移植到linux下 曾经有过在window下移植mysql数据库的经验,只需要把msql的数据文件复制到另一台安装mysql的机器的数据存放位置,然后 ...
- 将Windows下的文件同步到Linux下
需求:把Windows下的某些文件自动传送到Linux指定目录下 实现: 1. Windows下安装 WinSCP工具,并把Liunx服务器信息保存 2. 编写脚本,实现双击工具就把Windows下的 ...
- Windows下python3登陆和操作linux服务器
一.环境准备 python3远程连接需要用到pycrytodome和paramiko库,其中后者依赖前者,所以按照顺序来安装 1. 安装pycrytodome 1 pip install pycryt ...
- windows下安装pycharm并连接Linux的python环境
1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzjlz320/p/7110186.html 2. 添加配置连接远程服 ...
- [转载+补充][PY3]——环境配置(2)——windows下安装pycharm并连接Linux的python环境
原文地址:<你所会用到的Python学习环境和工具> 1. 下载安装Pycharm专业版 具体方法略.Pycharm5激活方法参考http://www.cnblogs.com/snsdzj ...
随机推荐
- JDK12的安装搭建
JDK12的安装搭建 一.JDK下载 1.JDK官网下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk12-down ...
- mongodb,robomongo 数据查询
可视化管理工具:Robomongo 是开源,免费的MongoDB管理工具,下载地址:Robomongo下载 1. 基本查询: 构造查询数据. > db.test.findOne() ...
- Interviewe HDU - 3486 (ST表+枚举 )(非二分,看下这个数据、)
YaoYao has a company and he wants to employ m people recently. Since his company is so famous, there ...
- 条件随机场CRF介绍
链接:https://mp.weixin.qq.com/s/BEjj5zJG3QmxvQiqs8P4-w softmax CRF主要用于序列标注问题,可以简单理解为是给序列中的每一帧,既然是分类,很自 ...
- VMware虚拟机中的CentOS7安装Nginx后本机无法访问的解决办法
VMware虚拟机中的CentOS7安装Nginx后本机无法访问的解决办法 在linux上安装nginx 请参考:Linux Centos7 安装 nginx 在虚拟机centos7上安装nginx之 ...
- Codeforces Round #593 (Div. 2) C. Labs A. Stones
题目:https://codeforces.com/contest/1236/problem/A 思路:两种操作收益都是3 且都会消耗b 操作2对b消耗较小 则可优先选择操作2 再进行操作1 即可得到 ...
- 【JAVA】Maven profiles控制多环境数据源日志打包(转载)
https://blog.csdn.net/qq_17213067/article/details/81661295
- 你可能用到的Spring工具类?
现在绝大部分项目都已经拥抱Spring生态,掌握Spring常用的工具类,是非常重要,零成本增加编码效率. 一.常用工具类 ObjectUtils org.springframework.util.O ...
- webpack命令:Module build failed(from ./node_modules/babel-loader/lib/index.js)/405/错误解决
在项目中运行的时候出现报错,错误为Module build failed (from ./node_modules/babel-loader/lib/index.js) 解决方案: 控制台输入 np ...
- javaScript事件--事件流
一.事件 事件是文档或者浏览器窗口中发生的,特定的交互瞬间. 事件是用户或浏览器自身执行的某种动作,如click,load和mouseover都是事件的名字. 事件是javaScript和DOM之间交 ...