C++浅析——虚表和虚表Hook

最新推荐文章于 2024-05-11 01:11:48 发布
最新推荐文章于 2024-05-11 01:11:48 发布
阅读量4.4k 收藏
点赞数 2
分类专栏: C++ 文章标签: c++ 虚表 虚函数 Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gufeng99/article/details/47355085
版权

为了探究虚表的今生前世,先来一段测试代码

虚函数类:

class	CTest
{
public:
	int		m_nData;

	virtual	void	PrintData()
	{
		printf("Data = 0x%x\n", m_nData);
	}
};


class	CBase1
{
public:
	int		m_nData;

	virtual	void PrintData1() = 0;
};


class	CBase2
{
public:
	int		m_nData;

	virtual	void PrintData2() = 0;
};

class	CBaseTest : public CBase1, public CBase2
{
public:
	void	PrintData1()
	{
		printf("Data = 0x%x\n", CBase1::m_nData);
	}

	void	PrintData2()
	{
		printf("Data = 0x%x\n", CBase2::m_nData);
	}
};
测试代码: 

void	Test()
{
	CTest	oCTest;
	CTest*	pCTest = new CTest();

	pCTest->m_nData = 0x8888;
	pCTest->PrintData();

	oCTest.m_nData = 888;
	oCTest.PrintData();

	delete	pCTest;
}

void	BaseTest()
{
	CBaseTest	oCBaseTest;

	oCBaseTest.PrintData1();
}

1、虚表位于何处?

     

WinDbg显示虚表的地址的属性:Usage    RegionUsageImage(代表此地址区域被映射到二进制文件的镜像),为只读属性。

2、同一个类对象的虚表位置相同吗?

      

同一个类对象的虚表位置相同。

加载模块的内存位置:0x00380000

虚表的VA = 0x003FDF2C - 0x00380000 = 0x0007DF2C

3、虚表需要在加载后进行初始化吗?

否,虚表的位置在PE文件的 .rdata 节中,.rdata 是存放程序常量的地方,属性为只读


从2的截图中可以看出,虚表第一个函数(CTest::PrintData)的地址 = 0x003A9EFB
其VA =  0x003A9EFB- 0x00380000 = 0x00029EFB
由于该PE文件的基址 = 0x00040000(默认情况下)
故其未重定位前的虚拟地址 = 0x00040000 + 0x00029EFB = 0x00429EFB
由于x86平台文件都是小尾储存,倒过来写就是 FB 9E 42 00,即如图左上红圈所示
说明PE文件在编译好后已经将虚表和虚表中的虚函数地址填写完毕并写入.rdata区

4、多父类继承的虚表如何存放?

多重继承的子类对象实际上是将每个父类的完整数据按顺序依次排布,所以拥有每个父类的虚表,父类每个虚表的位置同样在每个父类的起始位置。


                                           oCBaseTest对象内存分布

5、何为虚表Hook?
通过以上对虚表的来龙去脉的分析,有IAT Hook基础的同学可以很容易的想到如何进行虚表Hook了。
5.1 改PE文件
    直接改掉PE文件虚表位置的函数指针,指向自己伪造的虚表地址(当然必须保证自己的虚表函数指针有效,且函数调用形式和参数个数一致)
5.2 内存中Hook
    当PE文件加载后,直接在内存中修改虚表函数指针(注意要去写保护,当然调试工具是没问题的)。

5.3 Hook测试(内存Hook的方式)

测试代码:

class	CVFHook
{
public:
	typedef	void (CVFHook::* MemberFunctionPtr)();

public:
	static	BOOL	Hook(void* pVirtrulFunctionVA);
	
private:
	void	PrintData();
};
BOOL	CVFHook::Hook(void* pVirtrulFunctionVA)
{
	HMODULE	hHookedModule = ::GetModuleHandle(NULL);

	if (NULL == hHookedModule)
	{
		_tprintf(_T("Get module handle fail\n"));
		return	FALSE;
	}

	//取重定位后的虚表地址
	MemberFunctionPtr* pMemberFunctionPtr = (MemberFunctionPtr*)((INT64)pVirtrulFunctionVA + (INT64)hHookedModule);
	
	//去除读写保护
	DWORD	dwOldProtect = 0;
	::VirtualProtect(pMemberFunctionPtr, sizeof(pMemberFunctionPtr), PAGE_READWRITE, &dwOldProtect);
	*pMemberFunctionPtr = &CVFHook::PrintData;

	return	TRUE;
}

void	CVFHook::PrintData()
{
	printf("PrintData is facked!!!\n");
}
然后再dll的加载位置传入虚表的VA参数调用即可: 

BOOL APIENTRY DllMain( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			CVFHook::Hook((void*)0x0007DF2C);
			break;
		}
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

注意:这里我们伪造的虚函数 CVFHook::PrintData() 我直接用的是与要 Hook 的虚函数相同的成员函数形式,由于Release版的代码可能会被编译器优化掉函数调用形式,如果如此,需要我们手动编写汇编形式的虚函数代码。

启动测试程序 Console.exe ,然后用 APIMonitor 工具将 VirtrualFunctionHook.dll 注入,然后按任意键观察结果如下:


我们发现堆对象被成功Hook了,但局部对象没有被Hook掉,这是为什么呢?难道上面的分析错了?

我们来对前面的测试代码进行反汇编后观察:


发现对象调用PrintData时并没有通过虚表调用,而是直接使用普通成员函数的调用方式,以节约开销,只有使用对象指针或引用来调用虚函数时才会使用虚表调用的方式,故虚表Hook的方式失效.
gufeng99
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++虚表hook
godzhe的博客
06-05 2170
c++类实例中.第一个成员是一个指向virtual Routine的函数地址表,类似于ssdt表.类中调用虚函数的时候,会在虚函数表中查找相应的虚函数代码执行地址. 下面一段代码调用虚函数的反汇编代码 00291B54  |.  6A 0F         push 0xF 00291B56  |.  6A 0A         push 0xA 00291B58  |.  8B4
iat导入表hookc++源码
09-14
当我们谈论“iat导入表hook”时,我们实际上是在讨论一种技术,用于拦截和修改其他进程调用DLL函数的行为。这种技术常用于软件调试、注入、安全分析以及性能优化等领域。 IAT(Import Address Table)是每个PE...
C++虚函数Hook
最新发布
WolvenSec的博客
05-11 729
C++中,虚函数表是用于实现动态多态性的重要机制,每个对象都有一个指向虚函数表的指针,该表中存储了虚函数的地址,通过修改这个虚函数表(即替换虚函数表中存储的函数指针),我们可以改变类的行为,使其调用不同的函数。由于在内存中虚函数表具有保护属性,是不可写的,所以在Windows环境中我们要进行虚函数Hook需要通过调用Windows API中的一个函数。虚函数Hook是一种强大而灵活的技术,可以用于实现各种高级功能,但需要谨慎使用,并且要对目标程序的内部结构有深入的了解。
C++ 虚函数Hook
lk_HIT的博客
07-11 535
C++类中函数虚函数时,为了实现多态,C++类最开始地方会包含一个指针,该指针指向虚函数表,当我们修改这虚函数表里地址就达到了实现虚函数Hook的目的。 代码如下: #include "VTblHook.h" #include <iostream> #include <Windows.h> class MyBase { public: MyBase(int a,int b):m_ia(a),m_ib(b){ } virtual void __cdecl Te
虚函数HOOK
FlowShell的专栏
08-16 1855
看来一些资料,觉得这篇写的比较好,做此笔记。 栗子如下: #pragma once #include using namespace std; class A { public: int iVal1; int iVal2; virtual void print1() { cout<<"iVal1(A) = "<<iVal1<<endl; } virtual void
VirtualTable(虚函数表)Hook
南宫封清的博客
05-03 1069
HOOK HOOK是用来获取,更改程序执行时的某些数据,或者用于更改程序执行流程的一种技术 INLINE HOOK 直接修改函数的代码 虚函数表的HOOKc++虚函数的继承会生成一个虚函数表,来确定父类指针指向子类对象时所需要调用的具体的方法,用以实现多态。那么可不可以像静态方法一样直接调用类中的虚函数呢,答案是可行的 虚函数表在内存中的分布 大致原理如下: 实验 ...
HOOK和数据库访问C++源码.zip
04-03
在IT领域,"HOOK"和"数据库访问"是两个重要的技术概念,特别是在C++编程中。让我们深入探讨一下这两个主题。 首先,"HOOK"技术是一种Windows API调用拦截机制,它允许开发者在系统调用执行前或执行后插入自定义代码...
HOOK——鼠标连点器
08-27
编程语言:CPP/MFC 主要功能: 获取鼠标坐标 统计鼠标左/右键单击/双击次数,滚轮转动次数 计算鼠标从按下到弹起经历的时间 设置鼠标双击速度 鼠标自动连点,可自定义点击次数、点击间隔时间
SSDT表的Hook原理和示例代码
06-25
以上是关于SSDT表Hook的基本原理和实现思路。在深入研究和实践时,需要具备扎实的Windows内核知识和编程经验。在实际项目中,可以参考开源的内核Hook库,例如EasyHook或Detours,它们提供了更安全和便捷的方式来实现...
深入C++虚表(虚函数 虚表 反汇编)
05-28
多态是C++语言中最重要的特性之一,而虚表以及虚函数是实现多态的重要手段。许多C++语言的教材对于虚函数的使用以及调用机制有着详细的阐述,但是对于虚表的一些细节内容阐述却并不是很深,对于虚表我们可能会有很多疑问。本文就试图通过使用汇编语言对于虚表实现的细节进行分析,从而加深对多态机制的理解。
Universal-D3D11-Hook:通用D3D11挂钩
05-08
通用D3D11钩 通用D3D11挂钩 使用Detour 3.0,库中已经包含了lib和include,但是您需要在属性中更改include路径。 更改HWND窗口名称以开始使用。
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
详解虚函数的实现过程之菱形继承(5)
寻梦&之璐
12-18 3698
大家看到标题,会不会菱形继承的虚表会不会是重复的呢?祖父类的虚表会不会在子类会不会是两份相同呢?那么我们一起来探索一下吧,冲冲冲!! 首先我们来分析一下: 它一共定义了四个类,分别为CFurniture,CSofa,CBed和CSofaBed。CFurniture为祖父类,从CFurniture类中派生了两个子类:CSofa与CBed,它们在继承时使用了virtual的方式,即虚继承。 接下来我们来看看CSofaBed的对象的内存结构图 那么这些数据都有什么含义呢?如下所示: 看了一下,大概能看懂
简单的虚表Hook
qq_39708161的博客
02-06 569
最近在学习C++虚函数表的Hook,这里简单上传一个小例子,是64位32位通用的 // ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include #include /// 虚表指针的地址 /// fake函数地址 /// 欲Hook函数的引索 /// 保存原函数地址 BOOL HookVT(IN PVOID __vfptr, IN
虚函数Hook代码
ab7936573的专栏
03-25 929
作为备记,直接上代码. #include //更改地址跳转表 long ExChangeJumpTable(void* vfptr,int index,void* Value){ //虚表函数地址 void * functionJmpAddr = ((void**)vfptr)[index]; //E9 xx xx xx xx unsigned char *codeAddr = (u
hook C++类的虚表,替换成其他函数
AppNinja 开发手记
10-13 435
hook C++类的虚表,替换成其他函数。
Hook技术:虚表hook虚函数的调用过程详解(附源码)
weixin_43742894的博客
05-08 2026
偶然间看到一篇帖子讲述的是虚表Hook,之前没有接触过,兴趣多致,进行学习和实践,将个人感悟与代码分享出来。 什么是虚表hook? 首先我们应该要先了解什么是虚表虚函数(Virtual Function)是通过一张虚函数表(Virtual Table)来实现的。简称为V-Table。 在这个表中,主是要一个类的虚函数的地址表,这张表解决了继承、覆盖的问题,保证其容真实反应实际的函数。 我们调...
怎么hook C++虚函数表,替换里面的虚函数指针
07-08
hook C++ 虚函数表并替换其中的虚函数指针,你可以按照以下步骤进行: 1. 获取要 hook 的类的对象指针。 2. 访问对象的虚函数表指针。 3. 根据虚函数的索引找到要 hook虚函数指针。 4. 替换虚函数指针为你想...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值