C++中的Thunk技术和它的使用场景

最新推荐文章于 2022-02-19 18:24:10 发布
最新推荐文章于 2022-02-19 18:24:10 发布
阅读量1.7k 收藏 7
点赞数 1
分类专栏: c++ 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/John_ToStr/article/details/122259482
版权

        Thunk技术就是申请一段可执行的内存,并通过手动构造CPU指令的形式来生成代码块,实现针对一些特定问题的解决方案,如:

  • 通知我们要在窗口的回调函数里获得包含此窗口的类的指针得把窗口类指针放到窗口绑定的数据里,可是有一种技术可以帮助你省去这种绑定的麻烦。(如常见的问题:类的成员函数不能作为回调函数,也不能通过参数传递this的情况)。如下图:

因为是 WindowProc 是 __stdcall 调用约定,就算我们多压入了一个this参数,也不管调用者的事, 因为堆栈是由被调用者(windowProc)来清理的。虽然只有4个显式参数, 但作为成员函数的WindowProc在结束的时候是用ret 14h返回的,this被自动清除,你知道为什么吗?

我们只需构造如下的3条简单的指令即可:

  • 我们知道一个窗口对映一个对象,很自然设计一个类。如MyWin *p1和MyWin *p2,在类里有窗口的句柄,这样就进入到window的程序世界里了。通过类可以找到窗口句柄,但通过窗口句柄怎么找到类,这就是一个比较难办的问题
  • 虚函数多继承情况。如class B : public A1, public A2, public A3{}。所谓的thunk就是一段汇编代码,这段汇编代码可以以适当的偏移值来调整this指针以跳到对应的虚函数中去,并调用这个函数,也就是说当使用A1的指针指向B的对象,不需要发生偏移,而使用A2的指针指向B则需要进行偏移sizeof(A1)个字节。并跳转到A1中的函数来执行。这就是通过thunk的jmp指令跳转到这个函数。

        所以具体的虚函数表中的情况如下:

        ①如果两个基类中的虚函数名字不同,派生类只重写了第二个基类的虚函数,则不会产生thunk用以跳转。

        ②如果基类中虚函数名字相同,派生类如果重写,将会一次性重写两个基类的虚函数,这时候第二个基类的虚函数表中存放的就是thunk对象,当指针指向此处的时候,会自动跳转到A类的对应虚函数(已经被B重写)执行。如下图:重写虚函数f()

        ③第一个基类的虚函数被重写与否都不会产生thunk对象,因为这个类是被别的基类指针跳转的目标,而这个类的指针施行多态的时候是不会发生跳转的。

        ④派生类的重新定义的虚函数将会排在第一个虚函数表内部A1虚函数的后面,但是当A2调用这个函数的时候,会通过thunk技术跳转回第一个类的虚函数表以执行相对应的虚函数。如图:

        ⑤除了第一个基类的虚析构函数,其他基类的析构函数都是thunk对象。 如下图:

        综上所述,thunk对象用于所有基类都被派生类重写后,调用虚函数将跳到最开始的基类部分。或者派生类中定义的虚函数也会跳转到第一个基类的虚函数表中。而仅出现在后面的基类的虚函数表中的虚函数,无论被重写与否都不会产生thunk对象。因为这里不会在第一个基类中由对应的虚函数指针。

Q&&A

        1. C++的编译器应该是保证虚函数表的指针存在于对象实例中最前面的位置(这是为了保证取到虚函数表的有最高的性能——如果有多层继承或是多重继承的情况下)

        2. 子类的成员函数被放到了第一个父类的表中。(所谓的第一个父类是按照声明顺序来判断的)这样做就是为了解决不同的父类类型的指针指向同一个子类实例,而能够调用到实际的函数。如:B* pb = new B; 派生类的指针指向派生类的对象,由于派生类的对象模型没有自己的虚表指针,直接借用的第一个父类的虚表指针索引到正确的虚函数。如图:

       

以上,就是三种常见的Thunk技术的应用。当然还有很多,这里不一一列举。

        

        我们在开发中经常遇到调用约定类型,如__cdeclstdcallPASCALfastcall。这些调用约定类型就用来指定函数参数的传递方式的。上面几种约定类型,除了fastcall是使用寄存器方式传递参数外,其他的都是使用堆栈传递参数的。

        堆栈是一种“后进先出”的数据结构,ESP寄存器始终指向栈顶。栈中数据地址从底部到顶部依次减小,也就是说,栈底对应高地址,栈顶对应低地址。

        调用函数时,调用者依次把参数压栈,然后调用函数,函数被调用之后,在堆栈中取得参数数据。函数调用结束以后,堆栈需要恢复到函数调用之前的样子,而到底是由调用者来恢复还是由函数自身来恢复,根据不同的调用约定类型采用不同的方式。

约定类型__cdeclstdcallPASCALfastcall
参数传递顺序从右到左从右到左从左到右使用寄存器
堆栈平衡者调用者函数自身函数自身函数自身

        __cdcel是C/C++/MFC程序默认的调用约定。
        stdcall是绝大多数Win32 API函数的约定方式,也有少部分使用__cdcel约定方式(如wsprintf等)。
        在Windows C/C++开发中常用的就是__cdecl和stdcall这2种调用约定。

按照不同的调用约定来调用函数int add(int a, int b)。从调用者的视角来看,其汇编代码分别表示如下:

        __cdecl

        push b     ;参数按从右到左传递
        push a
        call add
        add esp, 8 ;调用者在函数外部平衡堆栈

        stdcall

        push b     ;参数按从右到左传递
        push a
        call add   ;函数自己内部平衡堆栈,调用者不需要平衡堆栈

        以下主要介绍1中涉及的技术方案,通过代码体现(__cdecl、__stdcall指令有区别,不含调用端代码)

Thunk技术的大致步骤(以下代码有体现):
<1>. 在指定的内存区域(可以使用VirtualAlloc函数来分配)写入模拟函数调用的汇编指令:
    // 该行用于存储函数的返回地址,因为在进入调用函数后,栈顶存储的就是函数的返回地址,所以可以直 
    // 接使用[esp]。push dword ptr [esp] 
    // 将pThis指针放入到函数的第一个参数位置(注意参数入栈是从右往左入栈的,而上面一行代码又压入            
    // 了函数返回地址,所以是[esp+4])mov  dword ptr [esp+4], pThis 
    // 直接使用jmp跳转到指定的相对地址(留意相对地址的计算方式)
    jmp XXXXXXX
<2>. 通过Windows提供的FlushInstructionCache函数来更新指令缓存
<3>. 最后再将指定的内存区域的起始地址作为函数指针来使用。
__stdcall:
void* Thunk::fStdcall(void* pThis, void* mfun)
{
    /****************************************************************************************
    machine code                    assembly code                       comment
    ------------------------------------------------------------------------------------------
    FF 34 24                        push    dword ptr[esp]              ;再次压入返回地址
    C7 44 24 04 ?? ?? ?? ??         mov     dword ptr[esp+4],this       ;传入this指针
    E9 ?? ?? ?? ??                  jmp     (relative target)           ;转到成员函数
    ****************************************************************************************/

    // 组织汇编语句
    // push
    m_pthis->m_stdcall.push[0] = 0xFF;
    m_pthis->m_stdcall.push[1] = 0x34;
    m_pthis->m_stdcall.push[2] = 0x24;
 
    // +4 mov 
    m_pthis->m_stdcall.mov = 0x042444C7;
    m_pthis->m_stdcall.pthis = (byte4)pThis;

    // jmp
    m_pthis->m_stdcall.jmp = 0xE9;
    m_pthis->m_stdcall.addr = (byte4)mfun - ((byte4)&m_pthis->m_stdcall.jmp + 5);

    // 要跳转的回调入口
    cout << (byte4)mfun << " " << ((byte4)&m_pthis->m_stdcall.jmp + 5) << " " << m_pthis->m_stdcall.addr << endl;

    // 刷新指定进程的指令高速缓存,让CPU加载新的指令
    FlushInstructionCache(GetCurrentProcess(), &m_pthis->m_stdcall, sizeof(m_pthis->m_stdcall));

    return &m_pthis->m_stdcall;
}

__cdecl:
void* Thunk::fCdeclcall(void* pThis, void* mfun)
{
    /****************************************************************************************
    machine code                    assembly code                       comment
    ------------------------------------------------------------------------------------------
    3E 8F 05 ?? ?? ?? ??            pop     dword ptr ds:[?? ?? ?? ??]  ;弹出并保存返回地址
    ?? ?? ?? ??                     push    this                        ;压入this指针
    ?? ?? ?? ??                     push    my_ret                      ;压入我的返回地址
    9E ?? ?? ?? ??                  jmp     (relative target)           ;跳转到成员函数
    C4 04                           add     esp,4                       ;清除this栈
    3E FF 25 ?? ?? ?? ??            jmp     dword ptr ds:[?? ?? ?? ??]  ;转到原返回地址
    ****************************************************************************************/

    // 组织汇编语句
    // pop
    m_pthis->m_cdecl.pop_ret[0] = 0x3E;
    m_pthis->m_cdecl.pop_ret[1] = 0x8F;
    m_pthis->m_cdecl.pop_ret[2] = 0x05;
    *(byte4*)&m_pthis->m_cdecl.pop_ret[3] = (byte4)&m_pthis->m_cdecl.ret_addr;

    // push
    m_pthis->m_cdecl.push_this[0] = 0x68;
    *(byte4*)&m_pthis->m_cdecl.push_this[1] = (byte4)pThis;

    // push
    m_pthis->m_cdecl.push_my_ret[0] = 0x68;
    *(byte4*)&m_pthis->m_cdecl.push_my_ret[1] = (byte4)&m_pthis->m_cdecl.add_esp[0];

    // jmp 
    m_pthis->m_cdecl.jmp_mfun[0] = 0xE9;
    *(byte4*)&m_pthis->m_cdecl.jmp_mfun[1] = (byte4)mfun - ((byte4)&m_pthis->m_cdecl.jmp_mfun + 5);
    cout << (byte4)mfun << " " << ((byte4)&m_pthis->m_stdcall.jmp + 5) << " " << * (byte4*)&m_pthis->m_cdecl.jmp_mfun[1] << endl;

    // add
    m_pthis->m_cdecl.add_esp[0] = 0x83;
    m_pthis->m_cdecl.add_esp[1] = 0xC4;
    m_pthis->m_cdecl.add_esp[2] = 0x04;

    // jmp
    m_pthis->m_cdecl.jmp_ret[0] = 0x3E;
    m_pthis->m_cdecl.jmp_ret[1] = 0xFF;
    m_pthis->m_cdecl.jmp_ret[2] = 0x25;
    *(byte4*)&m_pthis->m_cdecl.jmp_ret[3] = (byte4)&m_pthis->m_cdecl.ret_addr;
    cout << *(byte4*)&m_pthis->m_cdecl.jmp_ret[3] << " " << (byte4)&m_pthis->m_cdecl.ret_addr << endl;

    // 刷新指定进程的指令高速缓存,让CPU加载新的指令
    FlushInstructionCache(GetCurrentProcess(), &m_pthis->m_cdecl, sizeof(m_pthis->m_cdecl));

    return &m_pthis->m_cdecl;
}
ปรัชญา แค้วคำมูล
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Thunk技术
03-21
在实际开发Thunk技术不仅限于解决32位和64位兼容性问题,还可以应用于其他场景。例如,在跨线程通信或者异步编程Thunk可以作为回调函数的代理,将调用上下文转换为适合异步处理的形式。此外,现代编程语言如...
C++ Thunk技术
热门推荐
while(1) { smile(); }
02-26 5万+
一. 使用回调函数时遇到的问题 在使用Win32 API(如CreateThread等)时我们经常需要传入回调函数,这个回调函数不能是类的成员函数,只能是友元函数或静态函数。为了在回调函数访问某个类的成员变量或函数,我们通常不得不通过某种方式将该类的This指针传入到回调函数,从而实现在回调函数访问类的公有的成员变量或函数。 如果有一种方式可以实现将类的成员函数作为回调函数来使用,那么就...
C++Thunk技术 / 非静态类成员函数作为回调函数 的实现方法
weixin_34144450的博客
09-11 526
  原文:https://blog.twofei.com/616/   用我的理解通俗地解释一下什么是C++Thunk技术吧!  Thunk技术就是申请一段可执行的内存, 并通过手动构造CPU指令的形式来生成一个小巧的, 具有明确作用的代码块.  小巧? 具有明确作用? 你曾经初学C++时, 如果我没猜错的话, 肯定尝试过用C++封装一个窗口类(因为我也尝试过 :-) ),在封装窗口类的时候...
Thunk 回调函数实现面向对象
嬴政
05-20 2136
回调函数实现面向对象 什么是回调函数? 通常,Windows均要求我们将消息处理函数定义为一个全局函数,或者是一个类的静态成员函数。并且该函数必须采用__stdcall的调用约定(Calling Convention) 在VC函数前有callback,就认为是回调函数,回调函数是__stdcall调用约定,参数是从右边开始压入栈的,所以第一个参数就在栈的最上层 在使用VC开发的时候,回
也谈C++THUNK的一种实现技术
paul2002的专栏
11-25 1028
看了“我对C++THUNK一种实现技术的分析”一文,有点不同的想法。原代码如下:#pragma pack(push,1)// structure to store the machine codestruct Thunk{    char    m_jmp;          // op code of jmp instruction    unsigned long   m_relproc; 
c++ thunk for 32/64
最新发布
02-03
非常好用的thunk,全面兼容32位和64位,msvc的各种调用方式,如__stdcall,__fastcall,_cdecl。例如: call_thunk::thunk<AFX_THREADPROC> thunk; void CMyClass::start() { thunk.bind(*this, &CMyClass::Run); ...
react redux-thunk 和 router简单使用
08-19
react redux-thunk 和 router简单使用
C++ -stdcall thunk for x86 and x64
07-31
网上对x86下的c++ thunk资源太多。本thunk包括x86和x64下的_stdcall调用方式进行了全面整合,在vc2017环境下,对x86和x64全面test过。考虑到微软的WIN32 api回调函数的参数大多数为32位或者64位无符号整数,一般在4...
MFC,C++thunk,CWinThread工作线程,无ui定时器
01-31
mfc非文档单FormView的使用C++thunk for 32/64位,CWinThread无GUI工作线程,无GUI定时器,WINAPI调用方式的C++类封装。
Thunk 代码
01-22
Thunk,你懂的,这么简单,就没写示例了。
利用thunk技术改写窗口类回调函数为窗口对象成员函数
04-30
使用Thunk技术改写窗口类回调函数为窗口对象成员函数。 具有介绍看 http://chzup.blog.163.com/blog/static/10771319201133014637408/
C++THUNK技术
weixin_30847939的博客
10-17 123
//此程序演示运行时改变指令代码 //实质是C++实现多态的THUNK技术思想的简陋模拟 //在VC6.0编译通过。 #include<windows.h> #include<iostream.h> typedefvoid(*pFUN)();//函数类型 #pragmapack(push,1)//强制编译器,使数据按字节...
c++ thunk
Johny的专栏
08-09 4441
<br />之前参加了一次面试,问到了SetTimer回调设计成类成员函数的问题.后来想写一下,但是一直没有找到相关文章.后来lori哥指点,原来这就是C++ Thunk技术.<br /> <br />Thunk : 将一段机器码对应的字节保存在一个连续内存结构里, <br />然后将其指针强制转换成函数. 即用作函数来执行.<br /><br />这份代码用于将C语方的回调函数转换为具有this指针的C++成<br />员函数.<br /><br />在Windows系统编程, 可以将一些系统回函数封
C++多重继承的多态 - Thunk
weixin_30402085的博客
04-18 189
1 class A {...}2 3 class B {...}4 5 class C: public A, public B {...}6 7 B* b = new C;8 9 b->foo(); //virtual function 在为line 9实现多态的时候,b指向的不是C对象的开头,而是其subobject B的开头。 因此在调用foo时,作为参数的this指针需...
thunk技术
dc11223344的专栏
01-18 1487
Thunk : 将一段机器码对应的字节保存在一个连续内存结构里, 然后将其指针强制转换成函数. 即用作函数来执行,通常用来将对象的成员函数作为回调函数. #include "stdafx.h" #include namespace pri{ typedef unsigned char u1byte; typedef unsigned short u2byte; typedef uns
c++对象模型之虚表,虚表指针,thunk,多态,多重继承this指针偏移,多重继承virtual析构函数,多重虚继承下的访问虚基类成员变量时虚表的工作原理
Howl_1的博客
02-19 928
上两篇文章将c++的核心部件[Value categories]讲清楚了,这篇文章将会带大家分析c++对象模型的底层原理。笔者这里用的编译器是`clang version 10.0.0-4ubuntu1`,不同编译器对数据布局的处理可能会不同(《深度探索c++对象模型》已阐述原因,感兴趣的读者可以自行阅读)。友情提示:本文章涉及`ATT式`和`intel式`汇编代码的相关知识。
redux完全指南 系列1:从入门到精通
06-02
本套课程让你轻松掌握redux,非常细致的讲解redux怎么应用,结合react巧妙使用,让你再也不用面对枯燥的文档,不知道如何解脱,一套教程让你彻底学会redux。
C++Thunk技术示例代码使用VirtualAlloc
07-14
以下是一个使用Thunk技术和VirtualAlloc函数的示例代码,演示了如何在C++创建可执行代码的内存块,并使用Thunk函数进行调用: ```cpp #include <iostream> #include <Windows.h> class ThunkClass { public: ThunkClass(void (*func)()) : m_func(func) {} void Call() { m_func(); } private: void (*m_func)(); }; // 示例函数 void MyFunc() { std::cout << "MyFunc called!" << std::endl; } int main() { // 分配可执行的内存块 LPVOID executableMemory = VirtualAlloc(NULL, sizeof(ThunkClass), MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (executableMemory == NULL) { std::cerr << "Failed to allocate executable memory!" << std::endl; return -1; } // 创建一个类Thunk对象,并将目标函数传递给构造函数 ThunkClass* thunk = new (executableMemory) ThunkClass(MyFunc); // 调用类Thunk对象的Call方法 thunk->Call(); // 释放内存 thunk->~ThunkClass(); VirtualFree(executableMemory, 0, MEM_RELEASE); return 0; } ``` 在这个示例,我们定义了一个类 `ThunkClass`,它接受一个函数指针作为构造函数参数,并提供了一个 `Call` 方法来调用该函数。我们使用 `VirtualAlloc` 函数在内存分配了一块可执行的内存块。 然后,我们使用定位 new 运算符将 `ThunkClass` 对象构造在可执行内存。传递给构造函数的函数指针是我们想要调用的目标函数。 接下来,我们通过调用 `Call` 方法来执行目标函数。这里,类 `ThunkClass` 内部的 `Call` 方法会调用存储在对象的函数指针。 在使用完内存块后,我们首先显式调用类 `ThunkClass` 对象的析构函数 `~ThunkClass()`,然后使用 `VirtualFree` 函数释放内存。 这个示例代码演示了如何使用Thunk技术和VirtualAlloc函数来创建可执行代码的内存块,并通过类Thunk对象进行调用。请注意,这个示例仅供了解和学习类Thunk技术使用,实际应用需要谨慎考虑安全性和可移植性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值