天书夜读笔记——深入虚函数virtual

已于 2022-06-24 12:30:46 修改
阅读量103 收藏
点赞数
分类专栏: 安全 开发 文章标签: c++ 开发语言
于 2022-06-23 17:00:04 首次发布
我是https://wochinijiamile.blog.csdn.net/的博主,手贱把号注销了
本文链接:https://blog.csdn.net/ma_de_hao_mei_le/article/details/125430441
版权

友链

先把之前的MyDriver类中的虚函数给实现一下

extern "C" {
    #include<ntifs.h>
}

class MyDriver 
{
public:
    MyDriver(PDRIVER_OBJECT driver);
    virtual NTSTATUS OnDispatch(PDEVICE_OBJECT dev, PIRP irp) {
        return STATUS_UNSUCCESSFUL;
    };
    static MyDriver *d_my_driver;

private:
    static NTSTATUS sDispatch(PDEVICE_OBJECT dev, PIRP irp);
    PDRIVER_OBJECT d_driver;
};

MyDriver::MyDriver(PDRIVER_OBJECT driver) : d_driver(driver)
{
    size_t i;
    for(i=0; i<=IRP_MJ_MAXIMUM_FUNCTION; i++) {
        d_driver->MajorFunction[i] = sDispatch;
    }
    d_my_driver = this;
};

NTSTATUS MyDriver::sDispatch(PDEVICE_OBJECT dev, PIRP irp) {
    return d_my_driver->OnDispatch(dev, irp);
}

MyDriver* MyDriver::d_my_driver = NULL;


void* __cdecl operator new(unsigned int size) {
    void* pt = ExAllocatePool(NonPagedPool, size);
    if(NULL != pt) 
        memset(pt, 0, size);
    return pt;
}

class MySubDriver : public MyDriver
{
public:
    MySubDriver(PDRIVER_OBJECT driver) : MyDriver(driver) {};
    virtual NTSTATUS OnDispatch(PDEVICE_OBJECT dev, PIRP irp) {
        DbgPrint("this is the dispatch function of MySubDriver\r\n");
        return STATUS_UNSUCCESSFUL;
    }
};

extern "C" NTSTATUS DriverEntry(
    PDRIVER_OBJECT driver, PUNICODE_STRING reg
) {
	MyDriver::d_my_driver = new MySubDriver(driver);
    return STATUS_UNSUCCESSFUL;
}

build之后扔到ida中

.text:00010486 ; int __stdcall MyDriver::sDispatch(_DEVICE_OBJECT *dev, _IRP *irp)
.text:00010486 ?sDispatch@MyDriver@@CGJPAU_DEVICE_OBJECT@@PAU_IRP@@@Z proc near
.text:00010486                                         ; DATA XREF: MyDriver::MyDriver(_DRIVER_OBJECT *)+19o
.text:00010486
.text:00010486 dev             = dword ptr  8
.text:00010486 irp             = dword ptr  0Ch
.text:00010486
.text:00010486                 mov     edi, edi
.text:00010488                 push    ebp
.text:00010489                 mov     ebp, esp
.text:0001048B                 mov     ecx, ?d_my_driver@MyDriver@@2PAV1@A ; MyDriver * MyDriver::d_my_driver
.text:00010491                 mov     eax, [ecx]
.text:00010493                 pop     ebp
.text:00010494                 jmp     dword ptr [eax]
.text:00010494 ?sDispatch@MyDriver@@CGJPAU_DEVICE_OBJECT@@PAU_IRP@@@Z endp

这个是MyDriver类的sDispatch函数,在我们的C++代码中,在该函数内部,调用了OnDispatch函数

NTSTATUS MyDriver::sDispatch(PDEVICE_OBJECT dev, PIRP irp) {
    return d_my_driver->OnDispatch(dev, irp);
}

但是在上面的汇编代码中,并没有看到有call指令,只有一个jmp跳转指令

根据汇编代码,可以看到最终程序跳到了eax所指向的内存中存储的地址。而eax的值又来自于[ecx],ecx的值又来自于d_my_driver,也就是this指针,根据我们上一篇文章的介绍,ecx指向的是虚函数表,那么[ecx]就是虚函数表的真正内容了,我们可以通过给c++文件中的mydriver类再增加一个虚函数并在sdispatch进行调用来看一下一个虚函数在表中占用多少个字节

增加一个虚函数并进行调用:

extern "C" {
    #include<ntifs.h>
}

class MyDriver 
{
public:
    MyDriver(PDRIVER_OBJECT driver);
    virtual NTSTATUS OnDispatch(PDEVICE_OBJECT dev, PIRP irp) {
        return STATUS_UNSUCCESSFUL;
    };
    virtual NTSTATUS test_virtual_fucn(PDEVICE_OBJECT dev, PIRP irp) {
        return STATUS_UNSUCCESSFUL;
    };
    static MyDriver *d_my_driver;

private:
    static NTSTATUS sDispatch(PDEVICE_OBJECT dev, PIRP irp);
    PDRIVER_OBJECT d_driver;
};

MyDriver::MyDriver(PDRIVER_OBJECT driver) : d_driver(driver)
{
    size_t i;
    for(i=0; i<=IRP_MJ_MAXIMUM_FUNCTION; i++) {
        d_driver->MajorFunction[i] = sDispatch;
    }
    d_my_driver = this;
};

NTSTATUS MyDriver::sDispatch(PDEVICE_OBJECT dev, PIRP irp) {
    return d_my_driver->OnDispatch(dev, irp) + d_my_driver->test_virtual_fucn(dev, irp);
}

MyDriver* MyDriver::d_my_driver = NULL;


void* __cdecl operator new(unsigned int size) {
    void* pt = ExAllocatePool(NonPagedPool, size);
    if(NULL != pt) 
        memset(pt, 0, size);
    return pt;
}

class MySubDriver : public MyDriver
{
public:
    MySubDriver(PDRIVER_OBJECT driver) : MyDriver(driver) {};
    virtual NTSTATUS OnDispatch(PDEVICE_OBJECT dev, PIRP irp) {
        DbgPrint("this is the dispatch function of MySubDriver\r\n");
        return STATUS_UNSUCCESSFUL;
    }
};

extern "C" NTSTATUS DriverEntry(
    PDRIVER_OBJECT driver, PUNICODE_STRING reg
) {
	MyDriver::d_my_driver = new MySubDriver(driver);
    return STATUS_UNSUCCESSFUL;
}

sObDispatch的汇编代码

.text:00010486 ; int __stdcall MyDriver::sDispatch(_DEVICE_OBJECT *dev, _IRP *irp)
.text:00010486 ?sDispatch@MyDriver@@CGJPAU_DEVICE_OBJECT@@PAU_IRP@@@Z proc near
.text:00010486                                         ; DATA XREF: MyDriver::MyDriver(_DRIVER_OBJECT *)+19o
.text:00010486
.text:00010486 dev             = dword ptr  8
.text:00010486 irp             = dword ptr  0Ch
.text:00010486
.text:00010486                 mov     edi, edi
.text:00010488                 push    ebp
.text:00010489                 mov     ebp, esp
.text:0001048B                 mov     ecx, ?d_my_driver@MyDriver@@2PAV1@A ; MyDriver * MyDriver::d_my_driver
.text:00010491                 mov     eax, [ecx]
.text:00010493                 push    esi
.text:00010494                 push    [ebp+irp]
.text:00010497                 push    [ebp+dev]
.text:0001049A                 call    dword ptr [eax+4]
.text:0001049D                 push    [ebp+irp]
.text:000104A0                 mov     ecx, ?d_my_driver@MyDriver@@2PAV1@A ; MyDriver * MyDriver::d_my_driver
.text:000104A6                 push    [ebp+dev]
.text:000104A9                 mov     esi, eax
.text:000104AB                 mov     eax, [ecx]
.text:000104AD                 call    dword ptr [eax]
.text:000104AF                 add     eax, esi
.text:000104B1                 pop     esi
.text:000104B2                 pop     ebp
.text:000104B3                 retn    8
.text:000104B3 ?sDispatch@MyDriver@@CGJPAU_DEVICE_OBJECT@@PAU_IRP@@@Z endp

可以看到有两次调用,
···
.text:0001049A call dword ptr [eax+4]

.text:000104AD call dword ptr [eax]

···

因此,我们可以确定一个虚函数表占用4个字节,其实这个不用测试也可以推测出来,对于x86的应用程序,地址就是32bit的,一个虚函数就是一个地址罢了(函数地址),也就是4bytes

派生类mysubdriver的虚函数表和基类mydriver的虚函数表一定存在着某种关系,才能够实现调用mydriver的虚函数却能够调用到mysubdriver的对应实现函数

来看一下mysubdriver的构造函数是如何初始化虚函数表的

mysubdriver的构造函数:

.text:00010534 ; void __thiscall MySubDriver::MySubDriver(MySubDriver *this, _DRIVER_OBJECT *driver)
.text:00010534 ??0MySubDriver@@QAE@PAU_DRIVER_OBJECT@@@Z proc near
.text:00010534                                         ; CODE XREF: DriverEntry(x,x)+16p
.text:00010534
.text:00010534 driver          = dword ptr  8
.text:00010534
.text:00010534 this = ecx
.text:00010534                 mov     edi, edi
.text:00010536                 push    ebp
.text:00010537                 mov     ebp, esp
.text:00010539                 push    esi
.text:0001053A                 push    [ebp+driver]    ; driver
.text:0001053D                 mov     esi, this
.text:0001053F                 call    ??0MyDriver@@QAE@PAU_DRIVER_OBJECT@@@Z ; MyDriver::MyDriver(_DRIVER_OBJECT *)
.text:00010544                 mov     dword ptr [esi], offset ??_7MySubDriver@@6B@ ; const MySubDriver::`vftable'
.text:0001054A                 mov     eax, esi
.text:0001054C                 pop     esi
.text:0001054D                 pop     ebp
.text:0001054E                 retn    4
.text:0001054E ??0MySubDriver@@QAE@PAU_DRIVER_OBJECT@@@Z endp

可以看到mydriver的虚函数表实际上被mysubdriver的虚函数表给替换掉了,在调用mydriver构造函数之前ecx没有发生任何改变,那么传入mydriver构造函数的this指针和mysubdriver的this指针是一样的,在mydriver构造函数调用完成后,this将会指向虚函数表,但是后面的一条指令

.text:00010544                 mov     dword ptr [esi], offset ??_7MySubDriver@@6B@ ; const MySubDriver::`vftable'

使得this(esi在mydriver构造函数调用之前保存了this的值)指向的内容发生了改变,变成了mysubdriver的虚函数表

在这里插入图片描述

ma_de_hao_mei_le
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从自己的角度比较 天书夜读 和 寒江独钓
akdjhf的博客
01-18 875
从自己的角度比较 天书夜读 和 寒江独钓
计算机操作系统第四版读书笔记,《操作系统》读后感10篇
weixin_39564605的博客
07-14 570
《操作系统》是一本由[美] William Stallings著作,电子工业出版社出版的平装图书,本书定价:75.00元,页数:541,特精心从网络上整理的一些读者的读后感,希望对大家能有帮助。《操作系统》读后感(一):发现的几个翻译错误。。对照着英文原版看,发现翻译的一些错误,导致看不懂,以下为自己对照原版的理解:40:2.2.3 节,第 1 段第 3 行,“平均每秒处理 100 指令”有误,应...
天书夜读笔记——C++写的内核驱动程序
ma_de_hao_mei_le的博客
06-23 959
类中还定义了一个虚函数(OnDispatch)可以让后续继承该类的子类来进行自己的实现由于driver是一个singleton,所以我们可以用d_my_driver指针来指向this,这样就解决了静态函数的调用问题(静态函数无法引用类的非静态成员)..................
天书夜读-2、3——笔记
蹒跚路行
10-23 345
这两天吧2、3两章看了,没什么好说的,基本的反汇编而已。之前曾玩过几个月的反汇编,(没坚持多久)。不过看着点还是没问题 问题是以后需要大量的锻炼,道理是没有汗水没有进步 本来准备把赛门铁克的那篇文字给翻译,感觉自己还没多少理解,先学习吧,以后肯定是在这篇里补充 对了,感谢《竹林蹊径》放出来试读,按照里面的附录B,我下载了VirtualKD,设置好了VirtualBox和VM。
Spring in Action读书笔记(二)——三大特色
BuquTianya的专栏
03-20 510
spring的三大核心特色 书的第一章内容的概括性很高,从spring的本质核心触发,点名了spring的三大优点:依赖注入(IOC)、应用切面(AOP)、使用模板。 依赖注入 依赖注入把原本需要对象自己管理和创建需要使用的其他类的实例这种传统方式,转变成了由spring的容器就行创建和管理,原来的类只需要依赖于接口。所以,依赖注入就有了另外一个名字——控制反转,即创建和管理依赖实例的权...
天书夜读学习笔记
铅笔头的小院
03-13 1037
今天做公交车去女朋友那,一个来回光车上就5个小时。拿了袁哥的天书夜读路上看。 其实之前看过一遍,不细。 我之前总喜欢看电子书,即免费又方便。 直到我前几天看买来的《windows驱动开发详解》。我边看边做笔记,发现效率提高了一些,而且很东西一写出来,总结一下之后就会非常清晰。而这本书其实我也读了一边了。 在路上,边看边挑出重点做一些总结性的笔,然后放到这里。或许对知识的有效
天书夜读-从汇编语言到Windows内核编程 高清完整
weixin_42588847的博客
05-02 1042
天书夜读-从汇编语言到Windows内核编程 链接:https://pan.baidu.com/s/1sk6alCWRQvDziEYLUrxArw 提取码:podo
这一年,这些书:2020年读书笔记
热门推荐
Heartsuit的博客
01-29 3万+
Note: 以下 markdown 格式文本由 json2md 自动转换生成,可参考JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了了解具体的转换过程。 面纱 作者:毛姆[英] ISBN:9787210082835 出版社:江西人民出版社 出版日期:2016-04-01 图书标签:毛姆,小说,英国文学,英国,外国文学 豆瓣地址:https://book.douban.com/subject/26757680/ 阅读日期:2020-01-19 读书笔记 威廉·萨默塞特·毛姆(
天书夜读:从汇编语言到Windows内核编程
博文视点(北京)官方博客
10-08 1835
图书信息  作 者: 谭文,邵坚磊 著   出 版 社: 电子工业出版社  出版时间: 2008-12-1  页 数: 284页  开 本: 16开  I S B N :9787121073397   分类: 图书 >> 计算机 >> 编程   定价:¥65.00元 宣传语:  从貌似天书的汇编代码中,一探Windows底层的核心实现。  在开
读书笔记:诛仙
草民专栏
09-10 1244
WTF他们笑着,大声笑着法相的悲悯最懂小凡的可能就是这个法相了普泓上人点头,同时向法相看了一眼,道:“我看你对这位张施主十分关怀,虽然有当日你普智师叔临终交代,但于你自己,似乎也对他另眼相看吧。”法相微笑道:“师父慧眼,的确如此。”说着他似回忆起往事,叹息一声,道,“不瞒师父说,自当年与张施主初次见面到如今,已十年光阴匆匆而过。十年来,弟子佛学道行或有小进,于人生一世却如婴儿行路,几无变化。惟独这位
由于某个必要的反作弊程序没有正常运行的缘故,您的客
ma_de_hao_mei_le的博客
01-10 8449
把C:\Program Files (x86)\Common Files\BattlEye目录里面的东西全都删了。由于某个必要的反作弊程序没有正常运行的缘故,您的客户都安将于10s后关闭。先把Battle Eye服务关了,然后。
SYSCALL SWAPGS
ma_de_hao_mei_le的博客
07-29 5471
说是因为该函数的前三条指令是用于设置内核栈空间的,内核调试需要先执行这三条指令来设置栈空间,也就是说这三条指令上面是不能下断点的,需要往后偏移。当时用SYSCALL实现系统调用的时候,不存在内核栈空间,也不存在指向保存了内核栈空间内核结构的指针。还有就是如果断点一直不被触发,有可能是因为目标机器上装了什么杀软导致的,卸载再尝试一下。因此,内核没办法去保存通用寄存器的值或者引用的内存里的值。在交换完毕之后就可以使用GS作为段地址来访问内核结构了。在使用该指令之前不需要保存任何通用寄存器,...........
查看windows服务进程对应服务名称及常见服务描述
ma_de_hao_mei_le的博客
06-12 4046
友链 tasklist /svc | findstr pid WpnService: Windows Push Notifications System Service windows消息推送服务
理解C语言中的sizeof操作符
ma_de_hao_mei_le的博客
07-10 3082
sizeof不是函数,就是一个一元运算符,只不过用起来象个函数而已对于数据类型,sizeof会计算出该数据类型的大小,比如sizeof(int)就是4但是如果是指针的话比如char* a[16]; sizeof(a)的值就是16char** a[16]; sizeof(a)的值就是64以前我一直以为 sizeof(a)因该是4,因为a其实就是一个指针,在32位操作系统中,一个指针(内存地址)长度就是32bit即4字节但是事实证明他会计算出这个指针所指向的内存空间的大小,而不是指针类型的大小 下面再来看这个
vs2022安装wdk之后仍然提示找不到ntddk.h
最新发布
ma_de_hao_mei_le的博客
02-01 2441
everything搜索ntddk.h,复制全部路径。这个路径添加到项目的额外C++包含目录中就行了。
删除windows recovery分区
ma_de_hao_mei_le的博客
06-16 2123
用windows虚拟机的时候,总是会遇到磁盘空间不足的情况,在虚拟机设置里扩展完磁盘空间之后,还需要进入虚拟机的diskmgmt.msc进行磁盘的扩容 但是有些时候总是会碰到原有分区和未分配分区之间有一个恢复分区的尴尬局面 会导致我们无法将未分配分区合并到已有分区中 对于这种情况,可以直接通过windows自带的diskpart工具将恢复分区删除掉(这个恢复分区具体有啥用我也不太清楚,反正我删除了也没什么影响) diskpart list disk select disk #no. list partiti
解决windbg无法加载ntdll符号的问题
ma_de_hao_mei_le的博客
07-16 1885
将debugee的C\windows\syswow64中的ntdll拷贝到debugger的本地随便一个目录,只要别在symbolpath中就行。然后把这个目录添加到imagefilepath里面(Ctrl+I)我这里调试的是64bit操作系统的内核。然后执行如下两条命令即可。...
x86 LEA 指令
ma_de_hao_mei_le的博客
05-06 1614
友链 参考链接: https://stackoverflow.com/questions/1658294/whats-the-purpose-of-the-lea-instruction 在使用OllyDBG反汇编一个exe的时候,看到了这样的代码 这部分对应的源代码应该是: return 2*x+y; 明明是一个乘法和加法运算,为啥到了机器代码,变成了LEA指令 后来看了上面的回答,才想明白 LEA指令是用于获取操作数的地址到另一个操作数的 那么上面截图中圈起来的代码,就会将DWORD PTR D
文档翻译---
ma_de_hao_mei_le的博客
01-19 1264
SystemTraceControlGuid 用于标识NT内核日志事件跟踪会话的控制GUID。ETW提供了一个机制,该机制用于追踪和记录由用户和内核模式的应用程序产生的事件。如果想要捕捉内核事件和其他事件产生者产生的事件,你必须使用两个分离的会话。下面的值定义了可能的NT内核日志会话可以跟踪的内核事件类GUID。NT内核日志会话是唯一可以接受来自内核事件产生者的会话。NT内核日志会话不接受来自其他事件产生者的事件。使用下面的变量识别NT内核的日志会话。
vmware无法从虚拟机中ping到vmnet8网卡
ma_de_hao_mei_le的博客
08-22 1212
但是如果ping不到192.168.56.1,那通过网络进行调试也就不好使了。我搞内核调试,通过网络连接debugger和debuggee。即使用vmnet8网卡,位于192.168.56.0/24段。debuggee是虚拟机,网络连接模式为NAT。解决办法就是重置vmnet8网卡。禁用之后再启用就行了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值