c++反汇编代码分析--偷调函数

最新推荐文章于 2023-02-05 10:59:17 发布
最新推荐文章于 2023-02-05 10:59:17 发布
阅读量487 收藏 1
点赞数
分类专栏: 汇编 文章标签: 汇编 代码分析 c++ hook c

注:不知道说“偷调函数”说法合不合适,在此也就这样一说了~

主要有两点:

一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者

二、在 1 的基础上,在WinDbg下通过修改EIP实现如下一个功能:

  有两个函数foo()和hack(),在main函数中调用foo,但是在foo执行过程中,通过修改EIP来调用hack函数,最后再回到main中foo函数的下一条语句

 

一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者

程序如下(很简单):

 

复制代码 
  
  

   
    1 
   
   #include 
   
   "
   
   stdafx.h
   
   "
   
   

   
    2 
   
   

   
    3 
   
    
   
   int
   
    MyAdd(
   
   int
   
    a,
   
   int
   
    b)

   
    4 
   
   {

   
    5 
   
       
   
   return
   
    a
   
   +
   
   b;

   
    6 
   
   }

   
    7 
   
   

   
    8 
   
    
   
   void
   
    main()

   
    9 
   
   {

   
   10 
   
       MyAdd(
   
   1
   
   ,
   
   2
   
   );

   
   11 
   
   }
复制代码

 

反汇编后如下:

void main()
11:   {
00401080   push        ebp
00401081   mov         ebp,esp
00401083   sub         esp,40h
00401086   push        ebx
00401087   push        esi
00401088   push        edi
00401089   lea         edi,[ebp-40h]
0040108C   mov         ecx,10h
00401091   mov         eax,0CCCCCCCCh
00401096   rep stos    dword ptr [edi]

12:       MyAdd(1,2);
00401098   push        2
0040109A   push        1 

;程序执行到这,堆栈内容如下(至于为什么是这,请参看《c++反汇编代码分析--函数调用》)

 

 

0040109C   call        @ILT+15(hook) (00401014);

--------------------------------开始转入MyAdd函数去执行--------------------------

;在执行0040109C   call        @ILT+15(hook) (00401014)到这句时,F11单步调试,会依次执行下边的反汇编代码:

00401014   jmp         MyAdd (00401030) 

;执行到此句时,ESP和EBP还是原来的值吗?
;我们可能会觉得,现在也没有push操作,ESP和EBP应该还是应该如上图一样没有变化吧
;非也,其实执行到这一句时,已经有一个自动的入栈操作,入栈的是0040109C   call        @ILT+15(hook) (00401014)
;这条指令的下一条指令的地址,具体如下图所示:
;执行到0040109C   call        @ILT+15(hook) (00401014)这条语句时,如图:
;执行到0040109C   call        @ILT+15(hook) (00401014)这条语句,按F11后,如下图:
;此时的堆栈情况如下图
;之后,转入下边的程序执行
   
   

    
    5
    
    :    
    
    int
    
     MyAdd(
    
    int
    
     a,
    
    int
    
     b)

    
    6
    
    :    {

    
    00401030
    
       push        ebp


   
   
 

   
   

    
    ……
   
   

   
   

    
        }
   
   

   
   

    
    ……
   
   

   
   

    
    

     
      
    
    

   
   

   
   

    
     
   
   

   
   

   
   

    
    
    
    

     
     ;执行过ret后,会自动将堆栈中retAddr的值弹给EIP,从而完成从被调用函数MyAdd转到main函数中去执行。
    
    

    
    

     
     ;这一点十分重要,也就是 二 的理论基础了吧。
    
    

   
   
00401053   pop         ebp
00401054   ret
--------------------------MyAdd子函数执行完毕,在此进入main函数执行------------------------------------


004010A1   add         esp,8
13:   }
004010A4   pop         edi
......

二、在 一 的基础上,在WinDbg下通过修改EIP实现如下一个功能:......

程序如下:

 

复制代码
happylife1527
关注
专栏目录
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
详细讲述如何使用IDA查看发生异常的汇编代码的上下文,去辅助分析C++软件异常。
C++反汇编代码分析
bcbobo21cn的专栏
04-02 1126
C++反汇编代码分析--函数调用   代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          return a+b;     }     void main()     {          int result = sum(1,2,3,4)
如何快速查看将C反汇编代码
weixin_34348805的博客
12-02 1867
查看反汇编主要的思路在于将 流程,处理,算法 区分开来。1 函数调用:原C代码: int sum(int, int);int main(){ int c = sum(1, 2); printf("c=%d", c); return 0;}int sum(int a, int b){ int c = a + b; return c;} 反汇编函数调用主要使...
C++反汇编代码分析——函数调用
u010488395的专栏
05-05 688
代码如下: #include "stdlib.h" int sum(int a,int b,int m,int n) {   return a+b; } void main() {   int result = sum(1,2,3,4);   system("pause"); }   有四个参数的sum函数,接着在main方法中调用sum函数。 在debu
查看反汇编代码
fengjingge
05-07 1362
objdump -d test   //查看反汇编代码,test是链接或者可执行文件。 高层次
在 Visual Studio 中查看反汇编代码
01-21
在源代码中设置断点,然后进行点击调试 若要启用反汇编窗口,请在工具>选项(或工具> 选项>调试下,选择启用地址级调试。 若要在调试期间打开反汇编窗口,请选择窗口>反汇编或按 Alt+8 。 除汇编指令外,反汇编窗口还可显示下列可选信息: 每条指令所在的内存地址 对于本机应用程序,它是实际内存地址。 对于 Visual Basic 或 C#,它是距离函数开头的偏移量。 程序集代码派生于的源代码代码字节,即实际计算机或 MSIL 指令的字节表示形式。 内存地址的符号名。 对应于源代码的行号。 汇编语言指令由助记符(指令名称的缩写)和代表变量、寄存器以及常量的符号组成。
C++反汇编代码分析--函数调用
lijunuuxxx的专栏
03-25 580
代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          return a+b;     }     void main()     {          int result = sum(1,2,3,4);          system("pause");     }
反汇编代码分析--函数调用
tangzhilinhk的专栏
07-21 1623
分类: VC Linux 2010-12-01 14:16 1681人阅读 评论(2) 收藏 举报 汇编代码分析框架编译器applicationsolaris C++反汇编代码分析--函数调用 代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          retu
C++ 反汇编与逆向分析技术揭秘 01章 Disasm-Push工具
最新发布
11-21
"C++ 反汇编与逆向分析技术揭秘 01章 Disasm-Push工具"正是探讨这一主题的开始,它介绍了一种可以使用gcc/g++编译的反汇编工具。 反汇编是将机器语言代码转换回汇编语言的过程,这对于理解和调试已编译的程序非常...
VC6、VS2008工具下查看反汇编代码、机器码的使用技巧反汇编页面下右键选择Code Bytes 打开机器码的显示
二进制模----细微行动改变影响世界
03-25 1664
VC6工具下查看反汇编代码、机器码的使用技巧 weixin_303422092019-03-12 11:17:00439收藏 版权 我们已经知道,反汇编时需把C代码放入调试(Debug)模式下,先在关键函数处按F9下断点,再按F5开始调试。 接着,Alt+8出现反汇编窗口,或者如图所示点击按钮 查看-->提示窗口-->Disassembly: 其次,其他的几项对应如图示的功能窗口: 最后的重点,在反汇编码中查看机器码、源代码,右键依次选择: Sourc...
如何查看程序的汇编代码
weixin_67916525的博客
02-05 1903
2.鼠标移动到想要查看汇编代码的C代码那一行,右击鼠标(以c =1.键盘按下F10(笔记本按Fn+F10),使程序进入调试状态。(a, b)为例),选择转到反汇编,并点击它。Visual Studio2019为例。
【Visual Studio2017查看反汇编代码
MsMs_的博客
05-03 3570
第一、建立一个简单的项目,就比如下图中的测试项目,然后设置一个断点。 #include <iostream> int main() { int a = 1; int b = 2; a = a + b; std::cout << a; } 第二、开始调试,然后如下图中所示,从调试->窗口->反汇编。 第三、下图是开启了反汇编功能后得到的窗口。大致可以分为三排信息,从左到右分别为内存地址(虚拟内存的地址)、机器指令(机器级的代码,可以直接被计算机所执行的指令
简单反汇编之还原(谁是窃贼算法)C++代码
收破烂的
01-20 3386
    能读懂汇编代码不难,但是要是从汇编代码还原成源码就有的难度了(高手飘过),今天闲来无事,从网上找了个简单的算法,试着从汇编代码还原代码,从网上找了个谁是窃贼的算法代码,在没有看源码的情况下编译,然后反汇编Release版,分析汇编代码如下:00401000 /$ 83EC 10 SUB ESP,10 //安排4个
linux反汇编简单示例
luoganttcc的博客
09-16 2511
在复杂比较难的程序中比如内核调试,会用到反汇编调试,当程序遇到一些未知的变量错误等,可以直接反汇编来查看汇编代码,一切一目了然。-S 目标文件 显示反汇编代码,将反汇编代码与源代码交替显示,编译时需要使用-g参数,即需要调试信息;显示全部Header信息,并显示对应的十六进制文件代码反汇编test中的需要执行指令的那些section。-s 文件名 显示头文件信息及所对十六进制信息。-h 文件名 显示各section的头信息。-j文件名 仅反汇编指定的section。-a 文件名 显示当前文件的格式。
C/C++ sin 和 cos 函数用法 与反函数 asin 和 acos 的用法
热门推荐
yuansacsdn的博客
10-15 2万+
在C/C++ sin 的参数与我们平常数学三角函数理解的不一样. 在C语言中 sin 的参数是 弧度,而不是角度. 所有我们计算一个角度的sin 值时,应先转成弧度值. 弧度 = 角度* 3.1415926 / 180.0 例如 : int angle = 30; // 角度 sin(angle * 3.1415926 / 180.0); ...
如何学会“代码
11-10 894
消化并重新塑造以为我所用
C++反汇编函数调用与EIP修改实践
"这篇内容主要讨论了C++代码反汇编分析,特别是关于函数调用的过程以及如何在运行时动态改变程序流程,通过修改EIP寄存器来实现‘偷调函数’的功能。文中以一个简单的MyAdd函数调用为例,展示了反汇编后的代码,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值