虚函数HOOK

最新推荐文章于 2024-05-11 01:11:48 发布
最新推荐文章于 2024-05-11 01:11:48 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: Windows编程

看来一些资料,觉得这篇写的比较好,做此笔记。

栗子如下:

#pragma once
#include <iostream>
using namespace std;

class A
{
public:
	int iVal1;
	int iVal2;

	virtual void print1()
	{
		cout<<"iVal1(A) = "<<iVal1<<endl;
	}

	virtual void print2()
	{
		cout<<"iVal2(A) = "<<iVal2<<endl;
	}

	virtual void print_all()
	{
		cout<<"iVal1(A) = "<<iVal1<<"\t"<<"iVal2(A) = "<<iVal2<<endl;
	}

	virtual void print_extern(int ext)
	{
		cout<<"ext(A) = "<<(ext+0)<<endl;
	}
};


class B
{
public:
	int iVal1;
	int iVal2;

	virtual void print1()
	{
		cout<<"iVal1(B) = "<<iVal1<<endl;
	}

	virtual void print2()
	{
		cout<<"iVal2(B) = "<<iVal2<<endl;
	}

	virtual void print_all()
	{
		cout<<"iVal1(B) = "<<iVal1<<"\t"<<"iVal2(B) = "<<iVal2<<endl;
	}

	virtual void print_extern(int ext)
	{
		cout<<"ext(B) = "<<(ext+100)<<endl;
	}

};
大家应该比较熟悉这两个类的内存结构,如图:

Mission 1:对象a去调用类B的函数
方法:寄存器ecx中放入对象a的地址,然后找到类B相应的函数指针,调用之。 

// 1.对象a去调用类B的函数
void CallAMethodWithBObject(A* pA, B* pB)
{
	_asm
	{
		push eax                              // 暂存eax寄存器到堆栈中
		push ecx                              // 暂存ecx寄存器到堆栈中

		mov eax,dword ptr [pB]				  // pB对象地址所指的内容放入eax中(指向pb虚表)
		mov ecx,dword ptr [pA]                // pA虚表的地址放入ecx中

		mov eax,dword ptr [eax]               // pB虚表的地址放入eax中(pB对象的第一个元素)
		add eax,12                            // 虚表地址+12,即b对象的第4个函数B::print_extern()的地址
		push  4
		call dword ptr [eax]				  // 调用类B的函数B::print_all(),但是实际上传入a对象的变量(this指针放在ecx中)

		pop ecx                               // 从堆栈中弹回ecx
		pop eax                               // 从堆栈中弹回eax
	}
}
Mission 2:交换对象a和对象b的所有虚函数
方法:很简单,就是交换两个对象的虚表指针,如图。


代码如下:

// 2.交互两个对象的虚表地址
void exchangVB(A* pA, B* pB)
{
	_asm
	{
		push eax
		push ecx
		push esi
		push edi

		mov esi, dword ptr[pB]
		mov edi, dword ptr[pA]

		mov eax, dword ptr[esi]
		mov ecx, dword ptr[edi]

		mov dword ptr[esi], ecx
		mov dword ptr[edi], eax

		pop edi
		pop esi
		pop ecx
		pop eax
	}
}

Mission 3:交换类A和类B的第二个和第四个函数
方法:需要修改虚表,交换类A和类B的第二、四个函数,如图:


代码如下:

// 3.交换类A和类B的第二个和第四个函数
void ExchangeMethod(A* pA, B* pB)
{
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
	long** pplVrtableA = (long**)(pA);
	long** pplVrtableB = (long**)(pB);

	MEMORY_BASIC_INFORMATION mbiA = {0};
	if (VirtualQueryEx(hProcess, (LPVOID)(*pplVrtableA), &mbiA, sizeof(mbiA)) != sizeof(mbiA))
		return;

	MEMORY_BASIC_INFORMATION mbiB = {0};
	if (VirtualQueryEx(hProcess, (LPVOID)(*pplVrtableB), &mbiB, sizeof(mbiB)) != sizeof(mbiB))
		return;

	DWORD dwOldProtectA = 0;
	DWORD dwOldProtectB = 0;
	if(!::VirtualProtectEx(hProcess, mbiA.BaseAddress, mbiA.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtectA)) 
		return;

	if(!::VirtualProtectEx(hProcess, mbiB.BaseAddress, mbiB.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtectB)) 
		return;

	_asm
	{
		push eax                        //压入需要使用的寄存器到堆栈中
		push ecx
		push esi
		push edi

		mov esi,dword ptr [pA]          //a对象指针
		mov edi,dword ptr [pB]			//b对象指针
		mov esi,dword ptr [esi]         //a对象虚表地址
		mov edi,dword ptr [edi]         //b对象虚表地址

		add esi,4
		add edi,4

		mov eax,dword ptr [esi]         //交换第二个函数地址:print2
		mov ecx,dword ptr [edi]
		mov dword ptr [edi],eax
		mov dword ptr [esi],ecx

		add esi,8
		add edi,8

		mov eax,dword ptr [esi]        //交换第四个函数地址:print_extern
		mov ecx,dword ptr [edi]
		mov dword ptr [edi],eax
		mov dword ptr [esi],ecx

		pop edi
		pop esi
		pop ecx
		pop eax
	}

	DWORD dwTemp = 0;
	::VirtualProtectEx(hProcess, mbiA.BaseAddress, mbiA.RegionSize, dwOldProtectA, &dwTemp);
	::VirtualProtectEx(hProcess, mbiB.BaseAddress, mbiB.RegionSize, dwOldProtectB, &dwTemp);

	CloseHandle(hProcess);
}

Mission 4:hook类A的第三个函数
方法:比较麻烦,但是也是不难弄的。将类A的第三个虚函数指针替换成我们自己定义的地址,如同:


代码如下:

void* g_pSaveAddr = 0;

void load_hook(A* pA, DWORD hook_proc)
{
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
	long** pplVrtableA = (long**)(pA);

	MEMORY_BASIC_INFORMATION mbiA = {0};
	if (VirtualQueryEx(hProcess, (LPVOID)(*pplVrtableA), &mbiA, sizeof(mbiA)) != sizeof(mbiA))
		return;

	DWORD dwOldProtectA = 0;
	if(!::VirtualProtectEx(hProcess, mbiA.BaseAddress, mbiA.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtectA)) 
		return;

	_asm
	{
		push eax
		push ecx

		mov eax,dword ptr [pA]              //获取对象指针
		mov eax,dword ptr [eax]             //获取虚表地址

		add eax,8                           //获取虚表中类A第三个函数指针的地址
		mov ecx,dword ptr [eax]             //取出类A第三个函数指针
		mov dword ptr [g_pSaveAddr],ecx		//保存到g_pAddr变量中
		mov ecx, dword ptr hook_proc		//替换为hook_proc指针
		mov dword ptr [eax],ecx

		pop ecx
		pop eax
	}

	cout<<"A::print_all() hooked!"<<endl;

	DWORD dwTemp = 0;
	::VirtualProtectEx(hProcess, mbiA.BaseAddress, 4, dwOldProtectA, &dwTemp);
	CloseHandle(hProcess);
}

void unload_hook(A* pA)
{
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
	long** pplVrtableA = (long**)(pA);

	MEMORY_BASIC_INFORMATION mbiA = {0};
	if (VirtualQueryEx(hProcess, (LPVOID)(*pplVrtableA), &mbiA, sizeof(mbiA)) != sizeof(mbiA))
		return;

	DWORD dwOldProtectA = 0;
	if(!::VirtualProtectEx(hProcess, mbiA.BaseAddress, mbiA.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtectA)) 
		return;

	_asm
	{
		push eax
		push ecx

		mov eax,dword ptr [pA]              //获取对象指针
		mov eax,dword ptr [eax]             //获取虚表地址
		add eax,8                          //获取虚表中类A第三个函数指针的地址
		mov ecx,dword ptr [g_pSaveAddr]		//取出事先保存的A::print_all()地址
		mov dword ptr [eax],ecx

		pop ecx
		pop eax
	}

	cout<<"A::print_all() unhooked!"<<endl;

	DWORD dwTemp = 0;
	::VirtualProtectEx(hProcess, mbiA.BaseAddress, 4, dwOldProtectA, &dwTemp);
	CloseHandle(hProcess);
}
主函数如下: 

int _tmain(int argc, _TCHAR* argv[])
{
	A a;
	a.iVal1 = 0;
	a.iVal2 = 1;

	B b;
	b.iVal1 = 1000;
	b.iVal2 = 1001;

	A* pA = &a;
	B* pB = &b;

	//CallAMethodWithBObject(pA, pB);
    //ExchangeMethod(pA, pB);
	//pA->print1();
	//pA->print2();
	//pA->print_all();
	//pA->print_extern(-200);

	//cout<<endl;

	//pB->print1();
	//pB->print2();
	//pB->print_all();
	//pB->print_extern(-200);

	load_hook(pA, DWORD(&hook_proc));
	pA->print_all();

	unload_hook(pA);
	pA->print_all();

	getchar();

	return 0;
}

本文引用:http://bbs.pediy.com/showthread.php?t=71775

FlowShell
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
游戏修改器制作教程八:D3D函数hook
El Psy Congroo
10-06 1万+
本章介绍怎么hook D3D函数,实现在游戏画面中显示自己的文字
C++——Hook教程[1]:函数表(VMT)Hook
PP的秘密基地
12-07 4561
前言 函数表(VMT)Hook,又叫指针重定向,是一种常见的Hook技术,在游戏外挂程序中最常见。例如,使用VMTHook在Direct3D / OpenGL引擎游戏里实现内置叠加层。 函数表(VMT) 本文中VMT就代指函数表。 函数表是C++实现多态的一种方式。 每一个有函数的类(或有函数类的派生类)都有一个VMT,VMT本质上就是一个函数指针数组,通常位于对象内存布局的开头或结尾。每当C++类声明(virtual)函数时,编译器都会增加一个条目到VMT中。 例如,在x86系统上使用V
微软detours代码借鉴点备注
joinpark的专栏
04-05 1222
得到主程序的入口,方法获取module的基地址,此处是PIMAGE_DOS_HEADER,根据这个信息查找PIMAGE_NT_HEADERS,从里面获取entrypoint的地址,一个例外是如果存在PDETOUR_CLR_HEADER,则获取模块MSCOREE.DLL,返回该dll的函数_CorExeMain。根据给出的指令地址,找出一个可以放置detours tramplines的位置,该函数解析了目标函数的第一个指令,如果是相对跳转,则根据相对跳转的指令的位置,重新计算tramplines的位置。
Hook技术:hook函数的调用过程详解(附源码)
weixin_43742894的博客
05-08 2010
偶然间看到一篇帖子讲述的是Hook,之前没有接触过,兴趣多致,进行学习和实践,将个人感悟与代码分享出来。 什么是hook? 首先我们应该要先了解什么是表? 函数(Virtual Function)是通过一张函数表(Virtual Table)来实现的。简称为V-Table。 在这个表中,主是要一个类的函数的地址表,这张表解决了继承、覆盖的问题,保证其容真实反应实际的函数。 我们调...
C++:函数Hook
WolvenSec的博客
05-11 719
在C++中,函数表是用于实现动态多态性的重要机制,每个对象都有一个指向函数表的指针,该表中存储了函数的地址,通过修改这个函数表(即替换函数表中存储的函数指针),我们可以改变类的行为,使其调用不同的函数。由于在内存中函数表具有保护属性,是不可写的,所以在Windows环境中我们要进行函数Hook需要通过调用Windows API中的一个函数函数Hook是一种强大而灵活的技术,可以用于实现各种高级功能,但需要谨慎使用,并且要对目标程序的内部结构有深入的了解。
函数Hook代码
ab7936573的专栏
03-25 920
作为备记,直接上代码. #include //更改地址跳转表 long ExChangeJumpTable(void* vfptr,int index,void* Value){ //函数地址 void * functionJmpAddr = ((void**)vfptr)[index]; //E9 xx xx xx xx unsigned char *codeAddr = (u
VirtualTable(函数表)Hook
南宫封清的博客
05-03 1068
HOOK HOOK是用来获取,更改程序执行时的某些数据,或者用于更改程序执行流程的一种技术 INLINE HOOK 直接修改函数的代码 函数表的HOOK 在c++中函数的继承会生成一个函数表,来确定父类指针指向子类对象时所需要调用的具体的方法,用以实现多态。那么可不可以像静态方法一样直接调用类中的函数呢,答案是可行的 函数表在内存中的分布 大致原理如下: 实验 ...
详解函数的实现过程之菱形继承(5)
寻梦&之璐
12-18 3695
大家看到标题,会不会菱形继承的表会不会是重复的呢?祖父类的表会不会在子类会不会是两份相同呢?那么我们一起来探索一下吧,冲冲冲!! 首先我们来分析一下: 它一共定义了四个类,分别为CFurniture,CSofa,CBed和CSofaBed。CFurniture为祖父类,从CFurniture类中派生了两个子类:CSofa与CBed,它们在继承时使用了virtual的方式,即继承。 接下来我们来看看CSofaBed的对象的内存结构图 那么这些数据都有什么含义呢?如下所示: 看了一下,大概能看懂
C++ 函数Hook
lk_HIT的博客
07-11 530
当C++类中函数函数时,为了实现多态,C++类最开始地方会包含一个指针,该指针指向函数表,当我们修改这函数表里地址就达到了实现函数Hook的目的。 代码如下: #include "VTblHook.h" #include <iostream> #include <Windows.h> class MyBase { public: MyBase(int a,int b):m_ia(a),m_ib(b){ } virtual void __cdecl Te
易语言HOOK跳转函数源码
06-03
易语言HOOK跳转函数源码。@易语言资源网站。
Hook函数CreateMutexA拦截互斥体创建
06-03
例程是hook了CreateMutexA函数,创建互斥体时会自动修改互斥体名称。@冬夜静思念。Tags:CreateMutexA。
Detours Express源码(微软API HOOK库)
09-24
Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是: 拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。 为一个已在运行的进程创建一新线程,装入自己的代码并运行。 ---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员 (在NT4 SP3上)。 一. Detours的原理 ---- 1. WIN32进程的内存管理 ---- 总所周知,WINDOWS NT实现了拟存储器,每一WIN32进程拥有4GB的存空间, 关于WIN32进程的存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点: ---- (1) 进程要执行的指令也放在存空间中 ---- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序 ---- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码 ---- 2. 拦截WIN32 API的原理 ---- Detours定义了三个概念: ---- (1) Target函数:要拦截的函数,通常为Windows的API。 ---- (2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。 ---- (3) Detour 函数:用来替代Target函数函数。 ---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下: 拦截前:Target _ Function: ;Target函数入口,以下为假想的常见的子程序入口代码 push ebp mov ebp, esp push eax push ebx Trampoline: ;以下是Target函数的继续部分 …… 拦截后: Target _ Function: jmp Detour_Function Trampoline: ;以下是Target函数的继续部分 …… Trampoline_Function: ; Trampoline函数入口, 开头的5个字节与Target函数相同 push ebp mov ebp, esp push eax push ebx ;跳回去继续执行Target函数 jmp Target_Function+5 ---- 3. 为一个已在运行的进程装入一个DLL ---- 以下是其步骤: ---- (1) 创建一个ThreadFuction,内容仅是调用LoadLibrary。 ---- (2) 用VirtualAllocEx为一个已在运行的进程分配一片存,并把权限更改为可读可写可执行。 ---- (3) 把ThreadFuction的二进制机器码写入这片存。 ---- (4) 用CreateRemoteThread在该进程上创建一个线程,传入前面分配的存的起始地址作为线程函数的地址,即可为一个已在运行的进程装入一个DLL。通过DllMain 即可在一个已在运行的进程中运行自己的代码。 二. Detours库函数的用法 ---- 因为Detours软件包并没有附带帮助文件,以下接口仅从剖析源代码得出。 ---- 1. PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction) ---- 功能:从一DLL中找出一函数的入口地址 ---- 参数:pszModule是DLL名,pszFun
Linux下开箱即用的C++单元测试demo示例,HOOK函数依赖的单元测试
最新发布
06-10
C/C++单元测试,非函数依赖得函数gtest+cppfreestub的demo示例,Linux下开箱即用。 整个工程带有完整的依赖,开箱即用。合适尝新的工程师入门体验~ 该资源是博文《非函数依赖如何单元测试》的随文示例demo,结合...
C++浅析——表和Hook
weixin_30451709的博客
08-08 279
为了探究表的今生前世,先来一段测试代码 函数类: 1 class CTest 2 { 3 public: 4 int m_nData; 5 6 virtual void PrintData() 7 { 8 printf("Data = 0x%x\n", m_nData); ...
在非越狱设备上Hook C++的函数是否可能?
Proteas的专栏
08-12 5384
关于C++中函数与普通函数的区别,大家可以参考:《深度探索C++对象模型》。 对于Hook普通的C++函数,与Hook C函数没什么太大区别,主要的却别在于C++有名称改编,原理是在函数入口加入跳转指令。 这块儿在Windows平台上有微软的Detours,也有开源的EasyHook。在Mac平台上有MobileSubstrate,相信做过越狱开发的对这个都比较熟悉。 所有上面列到的工具在
hook
weixin_30849403的博客
08-10 194
PVOID*GetVtpl(PVOIDlpThis,intnIndex){return*(PVOID**)lpThis+nIndex;}PVOIDHookVtpl(PVOID*lpAddr,PVOIDlpNewAddr){DWORDdwOldProtect;PVOIDlpResult=NULL;if(VirtualProtect(lp...
C++表的hook
godzhe的博客
06-05 2169
c++类实例中.第一个成员是一个指向virtual Routine的函数地址表,类似于ssdt表.类中调用函数的时候,会在函数表中查找相应的函数代码执行地址. 下面一段代码调用函数的反汇编代码 00291B54  |.  6A 0F         push 0xF 00291B56  |.  6A 0A         push 0xA 00291B58  |.  8B4
简单的Hook
qq_39708161的博客
02-06 567
最近在学习C++函数表的Hook,这里简单上传一个小例子,是64位32位通用的 // ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include #include /// 表指针的地址 /// fake函数地址 /// 欲Hook函数的引索 /// 保存原函数地址 BOOL HookVT(IN PVOID __vfptr, IN
怎么hook C++函数表,替换里面的函数指针
07-08
hook C++ 函数表并替换其中的函数指针,你可以按照以下步骤进行: 1. 获取要 hook 的类的对象指针。 2. 访问对象的函数表指针。 3. 根据函数的索引找到要 hook函数指针。 4. 替换函数指针为你想...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值