屌丝来谈Thunk Trick

最新推荐文章于 2024-07-13 19:40:55 发布
最新推荐文章于 2024-07-13 19:40:55 发布
阅读量734 收藏
点赞数
分类专栏: MASM C++ 文章标签: 汇编 struct access windows system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Daisy__Ben/article/details/8095357
版权
C++ 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
MASM
0 篇文章 0 订阅
订阅专栏

最近又冬眠了,时间很充裕。作为屌丝的我常常在互联网上找寻信息,自己也获得过很多人的帮助,无以回馈,所以想想就写些博客来。

Thunk是内联汇编中的一种技巧把戏,它代表着一串机器指令。从编程的角度来看,数据放在数据段,执行的指令放在代码段,用户无法修改某块内存的内容,把它变成机器码来用作指令执行。更何况操作系统对内存页面还有许多访问控制,一不留神把数据段中的内容当成指令操作和执行,操作系统就会毫不留情地抛一个0xC0000005 Access Violation的异常给你。即便是如此,但是Windows还是很自信地将本来属于系统一级的API导出给用户空间的程序调用,来操作内核的页面属性。这样对程序员来说就有更多灵活的空间可以发挥。VirtualAlloc VirtualProtect FlushInstructionCache VirtualFree等就是这一类函数。


废话不多说,先来定义一个代表机器指令的结构体:

#pragma pack(1)
struct _NiceThunk{
BYTE m_jump;//OxE9 jmp段内的直接跳转
DWORD m_offset;//标号偏移的相对值,直接加到EIP上去的
};



初始化:

void __stdcall InitThunk(_NiceThunk* pThunkImpl){
	pThunkImpl->m_jump = 0xE9;
	pThunkImpl->m_offset = (INT_PTR)ThunkFunc-(INT_PTR)(pThunkImpl+1);
}

这里有几点需要说明,首先是需要将数据格式对齐,指令的格式不对不能跳转,可以定义好了之后简单的测试下是否对齐assert(sizeof(_NiceThunk)==5)。另外,读MSDN可能发现pragma pack 和__declspec (align(#))似乎意思相似,但两者目的和作用是不一样的,不要搞混淆了。

然后从虚拟内存页上调拨一个页面分配_NiceThunk结构体,目的只有一个:能修改该页,并使它可以执行。

SYSTEM_INFO siSysInfo;
GetSystemInfo(&siSysInfo);
_NiceThunk* pThunkImpl = (_NiceThunk*)VirtualAlloc(NULL,siSysInfo.dwPageSize,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);
InitThunk(pThunkImpl);
FlushInstructionCache(GetCurrentProcess(),pThunkImpl,sizeof(_NiceThunk));



最后只需要一个能让Thunk执行跳转的函数,该函数采用内联汇编编写,有关于MASM请参考MSDN文档:http://msdn.microsoft.com/zh-cn/library/4ks26t93(v=vs.90).aspx

void __stdcall ThunkFunc(int /*iArg*/){
	int iA = 0;
	iA++;
}
__declspec (naked) void __stdcall CallThunk(_NiceThunk* /*pThunkImpl*/){
	__asm{
		mov eax,[esp+4] _NiceThunk的地址
		mov ecx,0 
		push ecx  ThunkFunc参数入栈
		call eax 执行Thunk代码
		ret 4 参数出栈
	}
}
补充一句,Thunk可以作为函数指针使用,不信可以试试,这才是最大的Trick 大笑

最近也在看John Tang在codeproject上发表的文章:http://www.codeproject.com/Articles/27908/Thunk-and-its-uses可以提供更多的参考。

大半年之前记录学习的这段内容,由于例子引用的不充分太过浅显,虽然已经说明了__stdcall以及参数传递等部分内容,但还不够清晰的说明thunk的本质,天资过人的朋友那就另当别论啦。下面从另外一种角度说明thunk,然后可能会引出一些有关编译器和符号的东西。

typedef void  (__stdcall *CallThunkFunc)(int);
CallThunkFunc pfnCall = (CallThunkFunc)&(*pThunkImpl);
pfnCall(1);

咋看之下好像没什么奇怪。广大的屌丝朋友们,只要展开汇编新的风景将呈现在我们眼前: 

//pfnCall(1) 调用thunk跳转到ThunkFunc
00100000  jmp  ThunkFunc (0EA11B3h) 00100000是分配thunk的虚存地址
//直接调用ThunkFunc(1)函数
call ThunkFunc(000711B3)
ThunkFunc:
000711B3  jmp   ThunkFunc (71460h)
两种情况是不一样的。我和很多屌丝朋友们一起,第一次看到编译器对函数调用的反汇编,居然是这个样子时吃了一斤(吃得太晚了)。原来源程序中的函数定义的名称,会被编译器拿来作为一个标号(符号),函数的实现只是一个代码段,函数的调用就是一个跳转表的实现。综合pfnCall(1)不难形象的理解到:thunk的实现恰恰就是动态的构造了这个跳转表。话说回来,如果编译器对函数调用都用跳转表实现话,尼玛要是有人改了这个跳转表会怎样呢,请教各位屌丝朋友们……




Daisy__Ben
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ Thunk技术
while(1) { smile(); }
02-26 5万+
一. 使用回调函数时遇到的问题 在使用Win32 API(如CreateThread等)时我们经常需要传入回调函数,这个回调函数不能是类的成员函数,只能是友元函数或静态函数。为了在回调函数中访问某个类的成员变量或函数,我们通常不得不通过某种方式将该类的This指针传入到回调函数中,从而实现在回调函数中访问类的公有的成员变量或函数。 如果有一种方式可以实现将类的成员函数作为回调函数来使用,那么就...
Thunk函数
huangssssx的专栏
02-23 1612
Thunk函数 1.前言 最早的thunk函数起源来自于“传值调用”(call by value) 和“传名调用”(call by name)之争。 对于: let x = 1; function fn(m){ return m*2; } fn(x+1); 传值调用的主张:fn(x+1)==fn(2);//执行前就进行计算 传名调用的主张...
react插件之redux-thunk
zihao6的博客
08-22 217
安装 npm install redux-thunk -S 作用:增强redux的功能,让redux中dispatch()可以派发一个函数,可以把函数抽离出来以便其他地方使用 项目结构 // 在store全局状态下 // index.js // 原本只需要引入一个createStore,现在需要引入applyMiddleware(类似于中间件) import { createStore, ap...
英语单词: thunk
mzhan017的博客
12-10 400
就单词本身来说,是很难理解这个thunk是个什么意思,即使是从think不规则形式转换过来,但是不应该是thought吗?如果必须从汉语的角度理解的话,倒是可用从:三思而行,这个成语来理解。就说在实际行动之前做的一些思考。是在模块化编程和编译器代码生成的时候使用到的一个概念,就是在进入或者退出函数、模块调用时,执行的一些预备或者收尾工作。这里也是在导入dll是做的一些个准备工作;这里去其实也是在函数调用的时候,执行的一些操作,方便地址转换。这里是说PV调用需要保存寄存器的值,再开始时间的函数过程。
React中间件 thunk&saga
qq_23111247的博客
12-27 493
6-4 Redux 使用Redux-thunk中间件进行Ajax请求发送 引入thunk插件后,我们可以在actionCreators内部编写逻辑,处理请求结果。而不只是单纯的返回一个action对象。 thunk的原理,可以在actionCreators里通过返回一个函数,然后就可以在函数里编写某些异步操作了,待异步操作结束,最后通过传入的store.dispatch,发出action通知...
redux-thunk
qq_38187583的博客
01-10 389
redux-thunk 是一个比较流行的 redux 异步 action 中间件,比如 action 中有 ****setTimeout**** 或者通过 ****fetch****通用远程 API 这些场景,那么就应该使用 redux-thunk 了。redux-thunk 帮助你统一了异步和同步 action 的调用方式,把异步过程放在 action 级别解决,对 component 没有影响...
Thunk 函数的含义和用法
DreamFJ的博客
02-22 199
参考:Thunk 函数的含义和用法
redux-thunk 示例
boysky0015的博客
08-17 601
import 'antd/dist/antd.css'; import React from 'react'; import ReactDOM from 'react-dom'; import {Button} from 'antd'; import { createStore,combineReducers,applyMiddleware } from 'redux'; import crea...
从零开始学_JavaScript_系列(58)——Thunk函数
qq20004604的博客
08-25 1201
1、Thunk函数基本定义1.1、缘由与函数的求值策略有关,求值策略分为两种: 传名策略:在需要求值的时候才求值; 传值策略:在传入函数的时候就求值;(又有说法叫按值传递) 如以下的示例代码:function foo(a) { return a * 10 // 1+2在这里计算结果叫做【传名策略】 } foo(1 + 2) // 1+2在这里计算结果叫做【传值策略】JavaScript
浅谈对于react-thunk中间件的简单理解
10-17
主要介绍了浅谈对于react-thunk中间件的简单理解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
thunk_x64.zip_thunk _x64Thunk
07-14
x64实现Thunk的新思路,兼容x86,目前能使用的第一份x64下的thunk代码。
redux-thunk 例子
11-24
2. **创建 Reducer**:Reducer 是纯函数,它接收当前的 state 和 action,然后根据 action 的类型来更新 state。对于登录功能,我们需要处理 `LOGIN_SUCCESS` 和 `LOGIN_FAILURE` 这两种情况。 ```javascript const...
JS Thunk 函数的含义和用法实例总结
10-15
总结来说,JS Thunk函数是一种用于异步控制流的技术,它通过包装函数来延迟参数计算,尤其在与Generator函数结合时,可以简化异步代码的编写,提高可读性和可测试性。虽然在简单的异步操作中,使用Thunk函数可能并不...
ReSwift-Thunk:用于ReSwift的Thunk中间件
02-05
当是Swift中单向数据流体系结构的类似的实现时,ReSwift-Thunk就像。 为什么要使用ReSwift-Thunk? 例 // First, you create the middleware, which needs to know the type of your `State`. let thunkMiddleware ...
汇编学习基础知识【记录】
weixin_53070140的博客
07-08 1024
学习汇编
格蠹汇编阅读理解
qiexinyueaifei的博客
07-08 603
一、调试工具使用方式。
x264 编码器 AArch64 汇编函数模块关系分析
小金牛来了
07-10 94
x264 编码器 AArch64 汇编函数模块关系分析
Windows 32 汇编笔记(二):使用 MASM
最新发布
Flag少侠的博客
07-13 1717
386把上面的 Win32 的 Hello World 源程序中的语句归纳精简一下,再列在下面:.386.data.codeend 开始标号start:;程序的入口点标号;...在宏定义中,可以使用local指令声明局部变量,以便在宏展开时为特定的数据或计算提供临时存储空间。局部变量在宏展开时被分配和使用,其生命周期与宏展开的时间段相同。;使用局部变量;使用局部变量ENDM子程序的定义(入口点)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值