Microsoft Visual C++ 逆向第二部分:类、方法和RTTI

最新推荐文章于 2024-01-31 20:23:33 发布
最新推荐文章于 2024-01-31 20:23:33 发布
阅读量1.1k 收藏
点赞数
分类专栏: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013043103/article/details/107901953
版权

Microsoft Visual c++是Win32使用最广泛的编译器,所以Win32逆向工作者熟悉其内部工作方式是很重要的。能够识别编译器生成的粘合代码有助于快速将注意力集中在程序员编写的实际代码上。它还有助于恢复项目的高层结构。在这篇由2部分组成的文章的第二部分(请参阅:第一部分:异常处理)中,我将介绍如何在MSVC中实现c++机制,包括类布局、虚函数、RTTI。假如您熟悉基本的c++和汇编语言。

基本类布局

为了说明下面的内容,让我们思考这个简单的例子:

    class A
    {
      int a1;
    public:
      virtual int A_virt1();
      virtual int A_virt2();
      static void A_static1();
      void A_simple1();
    };

    class B
    {
      int b1;
      int b2;
    public:
      virtual int B_virt1();
      virtual int B_virt2();
    };

    class C: public A, public B
    {
      int c1;
    public:
      virtual int A_virt2();
      virtual int B_virt2();
    };

在大多数情况下,MSVC以以下顺序排列类:

 

1. 虚函数表的指针(_vtable_或_vftable_),仅当类有虚方法且基类中没有合适的表可以重用时才添加。

2. 基类

3.类成员

虚函数表按虚方法第一次出现的顺序由虚方法的地址组成。重载函数的地址替换基类中函数的地址。

 

因此,我们的三个类的布局将如下所示:

  class A size(8):
        +---
     0  | {vfptr}
     4  | a1
        +---

    A's vftable:
     0  | &A::A_virt1
     4  | &A::A_virt2

    class B size(12):
        +---
     0  | {vfptr}
     4  | b1
     8  | b2
        +---

    B's vftable:
     0  | &B::B_virt1
     4  | &B::B_virt2

    class C size(24):
        +---
        | +--- (base class A)
     0  | | {vfptr}
     4  | | a1
        | +---
        | +--- (base class B)
     8  | | {vfptr}
    12  | | b1
    16  | | b2
        | +---
    20  | c1
        +---

    C's vftable for A:
     0  | &A::A_virt1
     4  | &C::A_virt2

    C's vftable for B:
     0  | &B::B_virt1
     4  | &C::B_virt2


The above diagram was produced by the VC8 compiler using an undocumented switch. To see the class layouts produced by the compiler, use: -d1reportSingleClassLayout to see the layout of a single class -d1reportAllClassLayout to see the layouts of all classes (including internal CRT classes) The layouts are dumped to stdout. 

As you can see, C has two vftables, since it has inherited two classes which both already had virtual functions. Address of C::A_virt2 replaces address of A::A_virt2 in C's vftable for A, and C::B_virt2 replaces B::B_virt2 in the other table. 
 

Calling Conventions and Class Methods


All class methods in MSVC by default use _thiscall_ convention. Class instance address (_this_ pointer) is passed as a hidden parameter in the ecx register. In the method body the compiler usually tucks it away immediately in some other register (e.g. esi or edi) and/or stack variable. All further adressing of the class members is done through that register and/or variable. However, when implementing COM classes, _stdcall_ convention is used. The following is an overview of the various class method types. 

1) Static Methods
Static methods do not need a class instance, so they work the same way as common functions. No _this_ pointer is passed to them. Thus it's not possible to reliably distinguish static methods from simple functions. Example: 
 

    A::A_static1();
    call    A::A_static1


2) Simple Methods
Simple methods need a class instance, so _this_ pointer is passed to them as a hidden first parameter, usually using _thiscall_ convention, i.e. in _ecx_ register. When the base object is not situated at the beginning of the derived class, _this_ pointer needs to be adjusted to point to the actual beginning of the base subobject before calling the function. Example: 
 

    ;pC->A_simple1(1);
    ;esi = pC
    push    1
    mov ecx, esi
    call    A::A_simple1

    ;pC->B_simple1(2,3);
    ;esi = pC
    lea edi, [esi+8] ;adjust this
    push    3
    push    2
    mov ecx, edi
    call    B::B_simple1


As you see, _this_ pointer is adjusted to point to the B subobject before calling B's method. 

3) Virtual Methods
To call a virtual method the compiler first needs to fetch the function address from the _vftable_ and then call the function at that address same way as a simple method (i.e. passing _this_ pointer as an implicit parameter). Example: 
 

    ;pC->A_virt2()
    ;esi = pC
    mov eax, [esi]  ;fetch virtual table pointer
    mov ecx, esi
    call [eax+4]  ;call second virtual method
    
    ;pC->B_virt1()
    ;edi = pC
    lea edi, [esi+8] ;adjust this pointer
    mov eax, [edi]   ;fetch virtual table pointer
    mov ecx, edi
    call [eax]       ;call first virtual method


4) Constructors and Destructors
Constructors and destructors work similar to a simple method: they get an implicit _this_ pointer as the first parameter (e.g. ecx in case of _thiscall_ convention). Constructor returns the _this_ pointer in eax, even though formally it has no return value. 
 

RTTI Implementation


RTTI (Run-Time Type Identification) is special compiler-generated information which is used to support C++ operators like dynamic_cast<> and typeid(), and also for C++ exceptions. Due to its nature, RTTI is only required (and generated) for polymorphic classes, i.e. classes with virtual functions. 

MSVC compiler puts a pointer to the structure called "Complete Object Locator" just before the vftable. The structure is called so because it allows compiler to find the location of the complete object from a specific vftable pointer (since a class can have several of them). COL looks like following: 
 

struct RTTICompleteObjectLocator
{
    DWORD signature; //always zero ?
    DWORD offset;    //offset of this vtable in the complete class
    DWORD cdOffset;  //constructor displacement offset
    struct TypeDescriptor* pTypeDescriptor; //TypeDescriptor of the com
最低0.47元/天 解锁文章
又肥又壮的韭菜
关注
专栏目录
萌新对C++编写的动态库逆向分析
03-10 662
DLL.dll 分析报告 0x00 样本信息 病毒名称:DLL.dll MD5 值:9810a578f60f8ff2e376769adac9ef38 SHA1:c605455357fe22654a7b974a2a7d301a1b0d064e SHA256:57e486fe50782e9fdfe73974baa88b553ba58eb5f99ef7386817a3d2e27430f5 这是小编准备的...
[源码和文档分享]基于VC++实现的Windows平台逆向调试器
qq_38474647的博客
12-24 103
第一章 调试器框架 1.1 框架的搭建 有写过Windows程序的人都知道Windows是基于消息的,当程序创建,窗口移动,键盘按下等,窗口过程函数都会收到消息,然后根据消息做相应的处理。其实调试器也是这样的,在 MSDN 中已经给出了一个现成的框架了,如下,我已经去掉部分注释了,如果想获得祥细信息的话可以查下 MSDN。 ...
Rational Rose 2003 逆向工程转换C++ / VC++ 6.0源代码成UML图(转载)
李金的专栏
07-07 1941
此文为转载的文章,文章出处地址如下:http://siulyn.blog.163.com/blog/static/6245583620087252539344/目录1.安装&破解Rational Rose 20031.1 安装Rose 20031.2 破解Rose 20032. Rational Rose 2003 逆向工程生成UML模型图2.1 ANSI C++(标准C++逆向工程(Reverse Engineer)2.2 Visual C++逆向工程(Reverse Engineer) 1.安装&破解
C++程序正向编译逆向反编译(一)
最新发布
dzqxwzoe的博客
01-31 5179
并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带securitycookie保护的环境中,就不能正常溢出了。其原理是在所有变量入栈前,多压入一个变量(随机数),然后函数执行完之后,再去检查这个数是不是一样的,这也是一个编译器行为,_RTC_CheckStackVars第一个参数是函数要检查的栈顶地址,第二个参数指向结构体_RTC_framedesc。该结构体第一个参数是压栈的局部变量个数,第二个参数保存局部变量相关信息。分别是变量的栈偏移地址,变量大小和变量的名字。
基于visual c++之windows核心编程代码分析(41)实现反向连接后门
weixin_30731305的博客
01-23 123
随着安全事件的不断涌现,人们的主机防护意识越来越强,各种各样的防火墙和反病毒软件都开始对来自外部的网络连接进行监控,所以传统的采用正向连接的木马已经不再适应现在的网络环境了。为了能够继续进行远程控制,木马不得不从体制上进行改变,这就出现了采用反向连接技术的。“反弹型”木马。“反弹”木马现在已经见得比较多了,但是对其技术细节介绍的文章还是比较少。为了监控危害我们伟大祖国的间谍分子,我们需要实现...
C++RTTI的使用方法详解
08-29
C++中的RTTI,即运行时型识别,是一种在程序执行期间识别对象实际型的能力。这一特性对于多态编程尤其有用,特别是在处理继承层次结构时。C++通过三种主要手段来支持RTTI: 1. `dynamic_cast` 运算符:`dynamic...
c++ rtti 根据名创建对象
08-08
实现c++根据名创建c++ 对象,一个文件简单明了,,,,,
第八章 Android 原生程序开发与逆向分析(六)(原生 C++ 程序逆向分析 - C++ 程序的 RTTI
zlmm741的博客
04-12 475
文章目录C++ 程序的 RTTI C++ 程序的 RTTI RTTI 全称 Run-Time Type Identification,译为“运行时型信息” RTTI 提供如下两个非常有用的操作符: typeid 操作符:返回指针的引用所指的实际型 dynamic_cast 操作符:将基型的指针或引用安全地转换为派生型地指针或引用 若 C++ 程序中用了 C++ 对象的多态特性(...
对vc++和对象的逆向研究
weixin_34056162的博客
09-28 121
为什么80%的码农都做不了架构师?>>> ...
VC++C++逆向基础
AkeyMaker的博客
11-05 847
局部变量 EBP-8,EBP-C...Debug : PUSH EBP MOV EBP,ESPRELEASE : ESP+XX 参数 EBP+8,EBP+CPUSH EBP MOV EBP,ESP 调用方式 _stdcall 函数内平衡堆栈,有一个参数ret 4,两个ret 8_cdcel函数外平衡堆栈,有一个参数retn,函数外add esp,4
vc++ 逆向工具_勒索病毒加密算法逆向识别
weixin_39623050的博客
11-21 343
1 前言使用IDA Pro进行分析时,通常只是利用它的反汇编功能,更快的分析汇编代码辅助后续需要采用的动态调试过程。由于hexray插件的强大,极大的提升了逆向效率。但是对于没有签名库匹配的情况下,得到都是未命名的函数,所以识别这些函数就成了一个问题。提及一下FLIRT的原理:从函数的前32个字节中提取模式并使其成为签名。当然,如果模式相同,则会发生冲突。如果需要提取签名的库很大,则会遇...
C++逆向----开发环境搭建
qq_45616570的博客
07-25 306
C++逆向----开发环境搭建 学习条件 了解C语言 熟悉任何一门面向对象语言(比如java,Objective-C,php,javascript)。 开发环境搭建 C++基础语法阶段 Windows:Visual Studio Community 2017 Mac: Xcode 项目实战阶段 Windows:Visual Studio Community 2017(因为项目实战开发的是.exe文件)。 Visual Stadio安装 Visual Stadio下载:https://visual
bugku-逆向-13、Take the maze(VC++32位逆向、IDC脚本使用)
Onlyone_1314的博客
10-25 2491
文章目录一级目录二级目录1、IDA静态分析2、主函数分析3、OD动态分析4、关键sub_463480函数分析(1)byte_541168数组分析(2)迷宫游戏的方向和形状5、脚本寻找路径6、路径转换得到flag 一级目录 二级目录 首先下载运行ConsoleApplication1.exe: 是需要输入一个字符串或者数字之的 之后PEid查壳: 32位的控制台程序,没有壳。 1、IDA静态分析 再用IDA打开静态分析,找到main函数,按F5反编译: main_0函数带注释的源代码: __int64
Crackme2.exe(C++语言逆向
Onlyone_1314的博客
03-05 1075
Crackme2.exe Rules: Do not Patch Sniff a serial for your name write a keygen 首先运行程序,随便输入用户名和注册码,发现输出Error 用IDA打开,找到关键代码: 代码的主要逻辑就是这: 所以这个程序的主要逻辑就是将我们输入的用户名进行一些计算,然后将结果与我们输入的序列号进行比较,相等则输出“Correct :: Good Work”。 我们将程序加载进OD中去,然后搜索字符串,找到对应的位置: 然后进入到关键代
C++逆向与反汇编实战--PEiD分析复现
qq_45587822的博客
06-11 906
文章目录准备文件判断分析函数定位文件判定函数分析OEP检查错误和编译器判断真文件分析函数特征码分析PEID解析流程开发环境伪造 准备 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳型和签名。 整个过程需要测试文件成品:https://www.lanzous.com/b07r7qu0d 首先使用PEiD检测之前做的一个异常捕捉测试程序。源码在下面,编译器为VC++ 6.0,编译方法为 Win32 Release #in
《基于VC平台下C++反汇编与逆向分析研究——No.2》
三缺
05-27 1216
分析环境:WIN7sp1 所用工具:VC++6.0/OllyDBG/IDA 适用人群:有一定计算机基础,熟悉C/C++编程,熟悉X86系列汇编/了解OD/IDA等调试工具使用,对逆向安全有极大兴趣者! ———————————————————————————————————————————————— 开篇前言:         数据型和运算符是任何编程语言的基础,而对于逆向而言亦是,只有
基于VC平台下C++反汇编与逆向分析研究——No.1
三缺
05-27 4299
首先感谢小生我怕怕大神,这个是他的随笔,作为一个业余爱好者,确实挺喜欢这门技术,所以做了这个系列的转载,后面会慢慢更新! 不过时间有限,一边考研,为了给自己枯燥的生活带来点乐趣,故选择随便看些东西! ———————————————————————————————————————————————— 分析环境:WIN7sp1 所用工具:VC++6.0/OllyDBG/IDA 适用人群
Windows平台C/C++程序逆向阶段总结
aiyo_的博客
07-06 1467
研究win程序逆向的初衷是为了更好的理解计算机系统的底层实现,理解计算机硬件架构与操作系统之间的联系,实现对软件系统的原子极优化。要想把win程序逆向研究透,可能并非一朝一夕。逆向需要你有多方面的知识,大的方面有组成原理,操作系统,编译原理等。往细了说,你还需要懂C/C++的语言实现与内存模型,汇编及其内存操作模型,win系统可执行程序的PE文件格式,还有msvc的工具链等。总结来说,就是你需要“懂原理,并熟练运用工具!”另外,说明一点:2021年了,现在的应用层技术层出不穷,逆向工程技术也远不止解析PE这
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值