函数指针和成员函数指针有什么不同,反汇编带看清成员函数指针的本尊(gcc@x64平台)

最新推荐文章于 2022-03-05 20:31:55 发布
最新推荐文章于 2022-03-05 20:31:55 发布
阅读量835 收藏 2
点赞数 1
分类专栏: C++ 文章标签: c++

http://www.cnblogs.com/bbqzsl/p/5087912.html

函数指针是什么,可能会答指向函数的指针。

成员函数指针是什么,答指向成员函数的指针。

成员函数指针和函数指针有什么不同?

虚函数指针和非虚成员函数指针有什么不同?

你真正了解成员函数指针了吗?

本篇带你看一看反汇编中,成员函数指针的实体,以及运作机理,与函数指针到底有什么不同。

函数指针是函数执行功能的第一条机器指令的地址,这样描述也不让人满意,至少比指向函数的指针具体一些。也就是call指令的地址操作数。那么成员函数指针也应该指向一条执行指令的地址。但是其实成员函数指针它是一个trunk。
下面我们通过两个类来进行分析,父类obj以及子类objobj。我们定义成员函数指针和通过成员函数指针来调用成员函数观察真相。

复制代码 
struct point {float x,y;};
struct obj
{
  virtual ~obj {}
  void foo(int) {}
  void foo(point) {}
  virtual void vfoo() {}
};
struct objobj : public obj
{
  virtual ~objobj {}
  virtual void vfoo() {}
};

void main()
{
    obj o;
        objobj oo;
        void* pofp = (void*) (void(obj::*)(point))&obj::foo;
        void(obj::*pi)(int) = &obj::foo;
        void(obj::*pp)(point) = &obj::foo;
        void(objobj::*vp)() = &objobj::vfoo;
        NOOP
        ((&oo)->*vp)();
        NOOP
        ((&oo)->*pi)(1);
        NOOP
        ((&o)->*pp)(pt);
}
复制代码

相信大家很轻松就知道这里有4个指针变量 pofp, pi, pp, vp, 分别指向obj::foo或objobj::vfoo函数的执行地址。通过‘*’号引用地址就可以调用函数的代码。其中有一个不是函数指针类型,但只要进行类型转换就可以调用到函数的代码了。

 

究竟事实是这样吗
gcc对本例的void* pofp = (void*) (void(obj::*)(point))&obj::foo;只作出警告并且可以编译,然而在vc中是错误不能通过编译的。因为将成员函数指针转换成其它类型的指针是被禁止的。
为什么vc要禁止这种转换呢,原因是成员函数指针不是一个单纯指向函数执行代码的地址的指针。先来看上面成员函数指针定义所对应的反汇编代码:

复制代码 
  0x0000000000400975 <+417>:    movq   $0x400c60,-0x18(%rbp)    # void* pofp = (void*) (void(obj::*)(point))&obj::foo;
   0x000000000040097d <+425>:    movq   $0x400bde,-0x80(%rbp)    
   0x0000000000400985 <+433>:    movq   $0x0,-0x78(%rbp)        # void(obj::*pi)(int) = &obj::foo;
   0x000000000040098d <+441>:    movq   $0x400c60,-0x90(%rbp)
   0x0000000000400998 <+452>:    movq   $0x0,-0x88(%rbp)        # void(obj::*pp)(point) = &obj::foo;
   0x00000000004009a3 <+463>:    movq   $0x11,-0xa0(%rbp)
   0x00000000004009ae <+474>:    movq   $0x0,-0x98(%rbp)        # void(objobj::*vp)() = &objobj::vfoo;
复制代码

可以看到除了void* pofp是一个8字节长的指针外, pi, pp, vp都是一个有两个8字节长成员变量的结构体。而且vp中并没有存放代码地址。这是怎么一回事呢?


这个成员函数指针到底是怎么样运作的,请看下面对通过成员函数指针调用函数的代码的反汇编:

复制代码 
((&oo)->*vp)();
   0x00000000004009ba <main+486>:    mov    -0xa0(%rbp),%rax
   0x00000000004009c1 <main+493>:    and    $0x1,%eax
   0x00000000004009c4 <main+496>:    test   %al,%al
   0x00000000004009c6 <main+498>:    je     0x4009f6 <main+546>
   0x00000000004009c8 <main+500>:    mov    -0x98(%rbp),%rax
   0x00000000004009cf <main+507>:    mov    %rax,%rdx
   0x00000000004009d2 <main+510>:    lea    -0x160(%rbp),%rax
   0x00000000004009d9 <main+517>:    add    %rdx,%rax
   0x00000000004009dc <main+520>:    mov    (%rax),%rdx
   0x00000000004009df <main+523>:    mov    -0xa0(%rbp),%rax
   0x00000000004009e6 <main+530>:    sub    $0x1,%rax
   0x00000000004009ea <main+534>:    lea    (%rdx,%rax,1),%rax
=> 0x00000000004009ee <main+538>:    mov    (%rax),%rax
   0x00000000004009f1 <main+541>:    mov    %rax,%rdx
   0x00000000004009f4 <main+544>:    jmp    0x4009fd <main+553>
   0x00000000004009f6 <main+546>:    mov    -0xa0(%rbp),%rdx
   0x00000000004009fd <main+553>:    mov    -0x98(%rbp),%rax
   0x0000000000400a04 <main+560>:    mov    %rax,%rcx
   0x0000000000400a07 <main+563>:    lea    -0x160(%rbp),%rax
   0x0000000000400a0e <main+570>:    add    %rcx,%rax
   0x0000000000400a11 <main+573>:    mov    %rax,%rdi
   0x0000000000400a14 <main+576>:    callq  *%rdx
复制代码
复制代码 
((&oo)->*pi)(1);
   0x0000000000400a17 <main+579>:    mov    -0x80(%rbp),%rax
   0x0000000000400a1b <main+583>:    and    $0x1,%eax
   0x0000000000400a1e <main+586>:    test   %al,%al
   0x0000000000400a20 <main+588>:    je     0x400a4a <main+630>
   0x0000000000400a22 <main+590>:    mov    -0x78(%rbp),%rax
   0x0000000000400a26 <main+594>:    mov    %rax,%rdx
   0x0000000000400a29 <main+597>:    lea    -0x160(%rbp),%rax
   0x0000000000400a30 <main+604>:    add    %rdx,%rax
   0x0000000000400a33 <main+607>:    mov    (%rax),%rdx
   0x0000000000400a36 <main+610>:    mov    -0x80(%rbp),%rax
   0x0000000000400a3a <main+614>:    sub    $0x1,%rax
   0x0000000000400a3e <main+618>:    lea    (%rdx,%rax,1),%rax
   0x0000000000400a42 <main+622>:    mov    (%rax),%rax
   0x0000000000400a45 <main+625>:    mov    %rax,%rdx
   0x0000000000400a48 <main+628>:    jmp    0x400a4e <main+634>
   0x0000000000400a4a <main+630>:    mov    -0x80(%rbp),%rdx
   0x0000000000400a4e <main+634>:    mov    -0x78(%rbp),%rax
   0x0000000000400a52 <main+638>:    mov    %rax,%rcx
   0x0000000000400a55 <main+641>:    lea    -0x160(%rbp),%rax
   0x0000000000400a5c <main+648>:    add    %rcx,%rax
   0x0000000000400a5f <main+651>:    mov    $0x1,%esi
   0x0000000000400a64 <main+656>:    mov    %rax,%rdi
   0x0000000000400a67 <main+659>:    callq  *%rdx
复制代码

可以看到在call真正的执行地址之前都有一段相同的处理,这段相同的代码就是成员函数指针在幕后做的处理。
大至逻辑为
1.区分是不是虚函数;
2.找出正确的this位置,初始化this参数;
3.虚函数的话,找出正确的this位置,取出正确的虚函数表。
4.最后才能正确地调用正确的成员函数。

我逆向这段处理的伪代码如下:

复制代码 
struct trunk{
  int64 off_poly;
  int64 off_func;
};

obj obj;
trunk trunk;
void* f;
if(trunk.off_func & 1)
{
  // a virtual function trunk;
  void** poly = (char*)&obj + trunk.off_poly;
  void** vtable = (void**)*poly;
  vtable = (char*)vtable + (trunk.off_func - 1);
  f = *vtable;
}
else
{
  // a non-virt function trunk;
  f = (void*)trunk.off_func;
}

poly* poly = (char*)&obj + trunk.off_poly;
poly->f();
复制代码

对于多重继承必须要找出正确的this位置。所以成员函数指针并不能像函数指针那样只是一个指向函数的指针,而需要一个trunk。


下面是objobj和obj的虚函数表的分布:

复制代码 
vtable of objobj
0x400f30 <_ZTV6objobj+16>:    0x0000000000400cce    0x0000000000400d08
0x400f40 <_ZTV6objobj+32>:    0x0000000000400d2e

(gdb) i sy 0x0000000000400cce
objobj::~objobj() in section .text of a.out
(gdb) i sy 0x0000000000400d08
objobj::~objobj() in section .text of a.out
(gdb) i sy 0x0000000000400d2e
objobj::vfoo() in section .text of a.out

vtable of obj
0x400f70 <_ZTV3obj+16>:    0x0000000000400b8a    0x0000000000400bb8    # obj::~obj(), obj::~obj()
0x400f80 <_ZTV3obj+32>:    0x0000000000400ca6                # obj::vfoo()
复制代码

如果你还没有离开,并且足够细心的话,你就会发现obj和objobj只有两个虚函数dtor和vfoo,怎么会虚函数表中会有三个函数?
请留意下一篇,在析构函数中调用虚函数会发生什么?

逆向深入objc,c++ windows下仿objc动画层UI引擎
zdy0_2004
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AVR-GCC如何调用存储于Flash中的指向函数的指针
07-25
本文给大家分享了AVR-GCC如何调用存储于Flash中的指向函数的指针
指针反汇编
tell_me_404的博客
08-03 388
指针反汇编一、指针的基本性质123二、&与*三、常量区问题四 结构体指针五 数组指针函数指针隐藏代码到数据区: 在一/二级指针的状态下,“指针是地址”概念是适用的。但在更高级别的状态下,这一概念就不再适用了 一、指针的基本性质 1 型的变量赋值时只能使用“完整写法”. 型的变量宽度永远是4字节、无论型是什么,无论有几个*. 2 1、不*型的变量,++或者-- 都是假1 或者减1 2、*型的变量,可是进行++ 或者 --的操作 3、型的变量,++ 或
成员函数指针的用法
u013500944的专栏
05-05 1549
一、成员函数指针的用法 在C++中,成员函数指针是个比较特殊的东西。对普通的函数指针来说,可以视为一个地址,在需要的时候可以任意转换并直接调用。但对成员函数来说,常规型转换是通不过编译的,调用的时候也必须采用特殊的语法。C++专门为成员指针准备了三个运算符: "::*"用于指针的声明,而"->*"和".*"用来调用指针指向的函数。比如:
反汇编基础-数据型以及C++引用、指针反汇编后的概括
IT1995的博客
06-24 4314
反汇编中的数据型在汇编中,无论是字符串型,整数型还是其他型都只有2个关键单位,地址、长度【注意:LEA为取地址指令】引用和指针的汇编代码:引用并不会影响程序的执行效率,使用引用又比指针多了编译器的检测所以在编写C++程序时应该抛弃指针,拥抱引用。const为编译期检查下面先来看一个C++源码:#include &lt;stdio.h&gt; int main(){ char *p_s...
反汇编 之构造函数的this指针
xiaozhi
02-17 946
C++的标准可知,构造函数的返回值是一个新建立的对象的指针,即this指针。 /* * 从汇编层面看,C++(class)的组织方式和结构体数据完全一致。 */ class c { private: int v1; int v2; public: c() { v1 = 667; v2 = 999; } c(int a, int b) { v1 = a; v2 = b;...
C++程序设计实践教程》(任志鸿版)第17章实验结果-指针与函数.docx
04-23
C++11 标准,gcc编译 内含自己写的代码及实验结果,仅供参考, 有问题也可以交流mail:[email protected]
c++11 符号修饰与函数签名、函数指针、匿名函数、仿函数、std::function与std::bind
12-17
一、符号修饰与函数签名 1、符号修饰 编译器将c++源代码编译成目标文件时,用函数签名的信息对函数名进行改编,形成...函数签名组成部分:包括函数名,参数型,参数个数和顺序,以及它所在和命名空间。 以上任何一
C语言教程(算法、数组、函数、指针)全方位讲解PPT合集.zip
01-12
C语言教程(算法、数组、函数、指针)全方位讲解PPT合集: C语言出错信息速查.pdf C语言教程之函数讲解.ppt C语言教程之指针讲解.ppt C语言教程之数组讲解.ppt C语言教程之算法的讲解.ppt C语言经典案例100例.rar ...
GCC.rar_GCC-ML matlab_GCC加权函数_PHAT加权_互相关 加权_互相关函数
07-14
广义互相关函数,包含所有互相关的权函数,可以方便的使用它,其中PHAT加权效果最好!
一般函数指针成员函数指针
09-08
C++中一般函数指针成员函数指针的区别
一般函数指针成员函数指针深入解析
09-05
以下是对一般函数指针成员函数指针进行了介绍。需要的朋友可以过来参考下
常见指针和数组的反汇编(x86)
菜鸟无影的学习笔记
01-28 438
我学习逆向,整理的VC6编译出来指针和数组一些常见的反汇编笔记。由于我是新手,肯定有一些疏漏不完善的,我遇到了会实时更新的。 指针 一级指针定义 5: int n = 2; 0040D428 mov dword ptr [ebp-4],2 6: int *p1 = &n; 0040102F lea eax,[ebp
c++成员函数指针揭秘
w_ww_w的专栏
09-02 835
1 前言C++语言支持指向成员函数指针这一语言机制。就像许多其它C++语言机制一样,它也是一把双刃剑,用得好,能够提高程序的灵活性、可扩展性等等,但是也存在一些不易发现的陷阱,我们在使用它的时候需要格外注意, 尤其是在我们把它和c++其它的语言机制合起来使用的时候更是要倍加当心
C++函数指针成员函数指针
平凡
03-05 1410
C++函数指针成员函数指针
函数指针成员函数指针
qq_46111138的博客
05-12 145
函数指针 一个指针,指向函数,就代表了用一个变量存储了函数的地址。 1 void run() { 2 3 } 4 void run1(int d) { 5 6 } 7 int main() { 8 void(*p)() = &run;//一个指针p指向了run函数 9 void(*f)(int) = &run1; 10 } 成员函数指针: 在里的
c++成员函数指针
寻梦&之璐
01-19 7478
提出疑问 首先问大家一句,什么是函数指针? 肯定有的人会这样回答,函数指针?不就是指向函数地址的一个指针吗?或者就是一个存放着一个函数首地址的变量? 当然,那些有点底层基础的肯定会这样说,函数就是一堆连续的机器码,而函数指针,就是存放了这堆连续机器码首地址的变量。 那么大家是不是回答的时候,考虑的地方是不是仅仅局限于 一般的函数????那么成员函数呢??? 为什么得强调成员函数呢?因为成员函数包括了虚函数和非虚函数(这里涉及虚表问题,可以先简单看看列出的虚函数系列,否则接下来问题会有点难以接受。) 虚函数
通过函数指针调用成员函数的方法
JunJie的个人博客
11-20 5072
通过函数指针调用一个函数的时候,此函数必须有具体的地址,因此当调用一个成员函数的时候,此成员函数必须声明为static,即静态成员函数,这样就能通过函数指针获取到成员函数的地址,进而调用。
使用指针hook对initofy_init()函数返回假的fd
最新发布
08-16
### 回答1: 首先,需要明确一下,对于一个函数返回值的修改,一般并不直接使用指针hook的方式。指针hook的主要作用是修改函数指针,使其指向我们自己编写的函数,从而达到替换原函数的目的。而对于函数返回值的修改,更常见的做法是修改函数内部的实现逻辑,或者使用一些特殊的技术手段来篡改函数返回值。下面我将介绍两种可能的方案: 方案一:修改函数内部逻辑 可以尝试修改 initofy_init() 函数的实现逻辑,使其在返回前将 fd 值设置为假值。具体实现方法可能因代码细节而异,但一般可以通过以下方式进行: ```c int initofy_init() { // 假设原函数实现中使用了一个名为 fd 的 int 变量 int* fd_ptr = &fd; // 修改 fd 的值为假值 *fd_ptr = -1; // 返回原函数的返回值 return original_initofy_init(); } ``` 需要注意的是,这种方法的实现依赖于原函数的实现细节,如果原函数的实现变化了,可能需要相应地修改这个 hook 函数。 方案二:使用 LD_PRELOAD 技术 另一种可能的方案是使用 LD_PRELOAD 技术来篡改 initofy_init() 函数的返回值。LD_PRELOAD 是一种 Linux 下的动态链接技术,可以通过预先加载一个共享库,来替换掉程序中的某些函数。具体实现方法如下: 1. 编写一个共享库,其中包含一个和原函数同名的函数 initofy_init(),并在这个函数中返回假值。 ```c int initofy_init() { return -1; // 返回假值 } ``` 2. 使用 gcc 编译这个共享库,并使用 LD_PRELOAD 技术将其加载到程序中,替换掉原函数。 ```bash gcc -shared -fPIC -o libfake.so fake.c LD_PRELOAD=./libfake.so ./your_program ``` 需要注意的是,这种方法只适用于 Linux 系统下的动态链接库,且需要保证原函数和 hook 函数的签名一致。 ### 回答2: 使用指针hook对initofy_init()函数返回假的fd需要进行以下几个步骤: 1. 首先,我们需要找到initofy_init()函数的地址。可以通过在程序启动时打印函数地址来获取,或者可以使用动态调试工具来定位函数地址。 2. 在找到并记录initofy_init()函数的地址后,我们可以使用指针hook来修改函数返回的fd。指针hook可以通过修改函数实现的地址,将其指向我们所期望返回的fd地址。 3. 我们需要事先准备好一个存储我们期望返回的fd的内存块。可以通过malloc()函数来动态分配一块内存作为fd的存储区域,并将其初始化为我们需要的fd值。 4. 将initofy_init()函数的地址与我们准备的内存块地址进行关联,并将initofy_init()函数的地址指向我们的内存块地址。 5. 当程序调用initofy_init()函数时,由于其地址已经被修改为我们的内存块地址,函数将会返回我们准备的fd值,即假的fd。 需要注意的是,修改函数指针可能需要对程序进行逆向工程和动态调试,并且可能需要特定的权限和专业知识。此外,对程序中的函数进行hook需要谨慎操作,以确保不会破坏程序的正常运行。 ### 回答3: 指针hook是一种针对函数的劫持技术,可以修改函数的行为。在这个问题中,我们需要对initofy_init()函数返回假的fd。 首先,我们需要定义一个指针,并将其指向initofy_init()函数。然后,我们通过指针来修改函数的返回值。 具体步骤如下: 1. 声明一个与initofy_init()函数相对应的函数指针。例如,可以使用以下代码创建一个函数指针: int (* old_initofy_init)(); 2. 使用以下代码将指针指向initofy_init()函数: old_initofy_init = initofy_init; 3. 修改initofy_init()函数的返回值。可以通过以下代码将其修改为返回假的fd: int fake_fd = 0; // 假的fd值 int modified_initofy_init() { return fake_fd; } 4. 将函数指针指向修改后的函数: initofy_init = modified_initofy_init; 现在,当调用initofy_init()函数时,它将返回假的fd值。 需要注意的是,这种修改函数行为的方法需要在程序执行initofy_init()函数之前完成。另外,修改函数行为可能会对程序的正常运行产生影响,因此在使用指针hook时应特别谨慎,并仔细考虑可能产生的副作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值