掌握C++对象模型底层知识的人都知道,C++利用虚函数的机制来实现运行期的多态。
例如一个类申明如下:
{
public :
A(){}
~ A(){}
virtual void f1(){ printf( " Founction f1 called\n " ); }
virtual void f2(){ printf( " Founction f2 called\n " ); }
virtual void f3(){ printf( " Founction f3 called\n " ); }
private :
int n;
};
那么A对象在内存中的结构图大概如下:
(缺失)
如上图:可以看到A对象的前4个字节是虚函数表的指针vptr,而虚函数表本身又是一个数组。所以vptr可以看作一个指向指针的指针。
那么已知pA为A对象指针,我们如果想得到虚函数表的地址,只需要如下即可。
long** pplVrtable= (long**)(pA);
我们可以为类A添加一个成员函数确认一下。
void A::reset_f1()
{
long** pplVrtable= (long**)(this); //取得虚函数表的指针
*pplVrtable = *pplVrtable +1;//将虚函数表的指针指向虚函数表第二个值。
}
测试代码:
int main(int argc, char* argv[])
{
A* pA = new A;
pA->reset_f1();
pA->f1();
delete pA;
return 0;
}
运行输出:
Founction f2 called.
结果证实虚函数表的指针已经被成功修改,对于成员函数f1的调用变成了对f2的调用.
但是我们这里修改的只是虚函数指针,那么我们可不可以直接修改虚函数表那?
试一下看看,修改代码如下:
void A::reset_f1()
{
long** pplVrtable= (long**)(this); //取得虚函数表的指针
(*pplVrtable)[0]= (*pplVrtable)[1];//将虚函数表的第一个值设置为虚函数表第二个值。
}
运行,结果程序crash了,看样子虚函数表这块内存是被系统保护了,看似山重水复疑无路了,不过没关系,Windows提供了一组针对内存保护的函数:
VirtualQueryEx, VirtualProtectEx,(相关定义和使用方法,可以看看MSDN).
利用这两个函数我们可以实现修改虚函数表的功能,再次修改代码如下:
{
// long** pplVrtable= (long**)(this); // 取得虚函数表的指针
// *pplVrtable = *pplVrtable +1; // 将虚函数表的指针指向虚函数表第二个值。
// long** pplVrtable= (long**)(this); // 取得虚函数表的指针
// (*pplVrtable)[0]= (*pplVrtable)[1]; // 将虚函数表的第一个值设置为虚函数表第二个值。
long ** pplVrtable = ( long ** )( this );
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
MEMORY_BASIC_INFORMATION mbi = { 0 };
if (VirtualQueryEx(hProcess, (LPVOID)( * pplVrtable), & mbi, sizeof (mbi)) != sizeof (mbi))
return ;
DWORD dwOldProtect = 0 ;
if ( ! ::VirtualProtectEx(hProcess, mbi.BaseAddress, 4 , PAGE_EXECUTE_READWRITE, & dwOldProtect))
return ;
( * pplVrtable)[ 0 ] = ( * pplVrtable)[ 1 ];
DWORD dwTemp = 0 ;
::VirtualProtectEx(hProcess, mbi.BaseAddress, 4 , dwOldProtect, & dwTemp);
CloseHandle(hProcess);
}
运行输出:
Founction f2 called.
结果与预期一样,虚函数表终于被成功修改了.
因为COM接口是没有成员变量的只有纯虚函数的类,其虚函数指针在内存分配上具有唯一性,所以我们可以通过以上的技术实现对所有COM接口成员函数的HOOK. ,