c++反汇编代码分析--偷调函数

最新推荐文章于 2023-11-12 14:39:24 发布
最新推荐文章于 2023-11-12 14:39:24 发布
阅读量489 收藏
点赞数
分类专栏: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaofuguang/article/details/12853843
版权

主要有两点:

一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者

二、在 1 的基础上,在WinDbg下通过修改EIP实现如下一个功能:

  有两个函数foo()和hack(),在main函数中调用foo,但是在foo执行过程中,通过修改EIP来调用hack函数,最后再回到main中foo函数的下一条语句

 

一、再说C++反汇编函数调用,重点是怎样通过堆栈实现由被调用函数转到调用者

程序如下(很简单):

 

   
   

    
     1 
    
    #include 
    
    "
    
    stdafx.h
    
    "
    
    

    
     2 
    
    

    
     3 
    
     
    
    int
    
     MyAdd(
    
    int
    
     a,
    
    int
    
     b)

    
     4 
    
    {

    
     5 
    
        
    
    return
    
     a
    
    +
    
    b;

    
     6 
    
    }

    
     7 
    
    

    
     8 
    
     
    
    void
    
     main()

    
     9 
    
    {

    
    10 
    
        MyAdd(
    
    1
    
    ,
    
    2
    
    );

    
    11 
    
    }

 

反汇编后如下:

void main()
11:   {
00401080   push        ebp
00401081   mov         ebp,esp
00401083   sub         esp,40h
00401086   push        ebx
00401087   push        esi
00401088   push        edi
00401089   lea         edi,[ebp-40h]
0040108C   mov         ecx,10h
00401091   mov         eax,0CCCCCCCCh
00401096   rep stos    dword ptr [edi]

12:       MyAdd(1,2);
00401098   push        2
0040109A   push        1 

;程序执行到这,堆栈内容如下(至于为什么是这,请参看《c++反汇编代码分析--函数调用》)

 c++反汇编代码分析--偷调函数 - zhaofuguang - zhaofuguang的博客

 

0040109C   call        @ILT+15(hook) (00401014);

--------------------------------开始转入MyAdd函数去执行--------------------------

;在执行0040109C   call        @ILT+15(hook) (00401014)到这句时,F11单步调试,会依次执行下边的反汇编代码:

00401014   jmp         MyAdd (00401030) 

;执行到此句时,ESP和EBP还是原来的值吗?
;我们可能会觉得,现在也没有push操作,ESP和EBP应该还是应该如上图一样没有变化吧
;非也,其实执行到这一句时,已经有一个自动的入栈操作,入栈的是0040109C   call        @ILT+15(hook) (00401014)
;这条指令的下一条指令的地址,具体如下图所示:
;执行到0040109C   call        @ILT+15(hook) (00401014)这条语句时,如图:
c++反汇编代码分析--偷调函数 - zhaofuguang - zhaofuguang的博客
;执行到0040109C   call        @ILT+15(hook) (00401014)这条语句,按F11后,如下图:
c++反汇编代码分析--偷调函数 - zhaofuguang - zhaofuguang的博客
;此时的堆栈情况如下图
  
c++反汇编代码分析--偷调函数 - zhaofuguang - zhaofuguang的博客
  
;之后,转入下边的程序执行
  
      
      

       
       5
       
       :    
       
       int
       
        MyAdd(
       
       int
       
        a,
       
       int
       
        b)

       
       6
       
       :    {

       
       00401030
       
          push        ebp
       
       

       
       

      
      
 
  

       
       

        
        ……
       
       

       
       

        
            }
       
       

       
       

        
        ……
       
       

       
       

        
        

         
          
        
        

       
       

       
       

        
         
       
       

       
       

       
       

        
        
         
         

          
          ;执行过ret后,会自动将堆栈中retAddr的值弹给EIP,从而完成从被调用函数MyAdd转到main函数中去执行。
         
         

         
         

          
          ;这一点十分重要,也就是 二 的理论基础了吧。
         
         

       
       
00401053   pop         ebp
00401054   ret
  
  --------------------------MyAdd子函数执行完毕,在此进入main函数执行------------------------------------


004010A1   add         esp,8
13:   }
004010A4   pop         edi
......

二、在 一 的基础上,在WinDbg下通过修改EIP实现如下一个功能:......

程序如下:

  

   
   

    
    #include 
    
    <
    
    iostream
    
    >
    
    

    
    using
    
     
    
    namespace
    
     std;

    
    void
    
     foo()
{
    printf(
    
    "
    
    --foo--\n
    
    "
    
    );
}

    
    void
    
     hook()
{
    printf(
    
    "
    
    --hook--\n
    
    "
    
    );
}


    
    void
    
     main()
{
    foo();
    hook();
}

理论如图:

 

c++反汇编代码分析--偷调函数 - zhaofuguang - zhaofuguang的博客

输出为:

--foo--

--hack--

--hack--

使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
详细讲述如何使用IDA查看发生异常的汇编代码的上下文,去辅助分析C++软件异常。
C++反汇编代码分析
bcbobo21cn的专栏
04-02 1131
C++反汇编代码分析--函数调用   代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          return a+b;     }     void main()     {          int result = sum(1,2,3,4)
如何快速查看将C反汇编代码
weixin_34348805的博客
12-02 1872
查看反汇编主要的思路在于将 流程,处理,算法 区分开来。1 函数调用:原C代码: int sum(int, int);int main(){ int c = sum(1, 2); printf("c=%d", c); return 0;}int sum(int a, int b){ int c = a + b; return c;} 反汇编函数调用主要使...
C++反汇编代码分析——函数调用
u010488395的专栏
05-05 690
代码如下: #include "stdlib.h" int sum(int a,int b,int m,int n) {   return a+b; } void main() {   int result = sum(1,2,3,4);   system("pause"); }   有四个参数的sum函数,接着在main方法中调用sum函数。 在debu
查看反汇编代码
fengjingge
05-07 1368
objdump -d test   //查看反汇编代码,test是链接或者可执行文件。 高层次
C++反汇编代码分析--函数调用
lijunuuxxx的专栏
03-25 581
代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          return a+b;     }     void main()     {          int result = sum(1,2,3,4);          system("pause");     }
反汇编代码分析--函数调用
tangzhilinhk的专栏
07-21 1628
分类: VC Linux 2010-12-01 14:16 1681人阅读 评论(2) 收藏 举报 汇编代码分析框架编译器applicationsolaris C++反汇编代码分析--函数调用 代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          retu
C++ 反汇编与逆向分析技术揭秘 01章 Disasm-Push工具
最新发布
11-21
"C++ 反汇编与逆向分析技术揭秘 01章 Disasm-Push工具"正是探讨这一主题的开始,它介绍了一种可以使用gcc/g++编译的反汇编工具。 反汇编是将机器语言代码转换回汇编语言的过程,这对于理解和调试已编译的程序非常...
在 Visual Studio 中查看反汇编代码
01-21
在源代码中设置断点,然后进行点击调试 若要启用反汇编窗口,请在工具>选项(或工具> 选项>调试下,选择启用地址级调试。 若要在调试期间打开反汇编窗口,请选择窗口>反汇编或按 Alt+8 。 除汇编指令外,反汇编窗口还可显示下列可选信息: 每条指令所在的内存地址 对于本机应用程序,它是实际内存地址。 对于 Visual Basic 或 C#,它是距离函数开头的偏移量。 程序集代码派生于的源代码代码字节,即实际计算机或 MSIL 指令的字节表示形式。 内存地址的符号名。 对应于源代码的行号。 汇编语言指令由助记符(指令名称的缩写)和代表变量、寄存器以及常量的符号组成。
VC6、VS2008工具下查看反汇编代码、机器码的使用技巧反汇编页面下右键选择Code Bytes 打开机器码的显示
二进制模----细微行动改变影响世界
03-25 1678
VC6工具下查看反汇编代码、机器码的使用技巧 weixin_303422092019-03-12 11:17:00439收藏 版权 我们已经知道,反汇编时需把C代码放入调试(Debug)模式下,先在关键函数处按F9下断点,再按F5开始调试。 接着,Alt+8出现反汇编窗口,或者如图所示点击按钮 查看-->提示窗口-->Disassembly: 其次,其他的几项对应如图示的功能窗口: 最后的重点,在反汇编码中查看机器码、源代码,右键依次选择: Sourc...
如何查看反汇编(VS)
NiNi_suanfa的博客
11-12 967
即可跳转查看反汇编
如何查看程序的汇编代码
weixin_67916525的博客
02-05 1933
2.鼠标移动到想要查看汇编代码的C代码那一行,右击鼠标(以c =1.键盘按下F10(笔记本按Fn+F10),使程序进入调试状态。(a, b)为例),选择转到反汇编,并点击它。Visual Studio2019为例。
【Visual Studio2017查看反汇编代码
MsMs_的博客
05-03 3579
第一、建立一个简单的项目,就比如下图中的测试项目,然后设置一个断点。 #include <iostream> int main() { int a = 1; int b = 2; a = a + b; std::cout << a; } 第二、开始调试,然后如下图中所示,从调试->窗口->反汇编。 第三、下图是开启了反汇编功能后得到的窗口。大致可以分为三排信息,从左到右分别为内存地址(虚拟内存的地址)、机器指令(机器级的代码,可以直接被计算机所执行的指令
简单反汇编之还原(谁是窃贼算法)C++代码
收破烂的
01-20 3388
    能读懂汇编代码不难,但是要是从汇编代码还原成源码就有的难度了(高手飘过),今天闲来无事,从网上找了个简单的算法,试着从汇编代码还原代码,从网上找了个谁是窃贼的算法代码,在没有看源码的情况下编译,然后反汇编Release版,分析的汇编代码如下:00401000 /$ 83EC 10 SUB ESP,10 //安排4个
linux反汇编简单示例
luoganttcc的博客
09-16 2521
在复杂比较难的程序中比如内核调试,会用到反汇编调试,当程序遇到一些未知的变量错误等,可以直接反汇编来查看汇编代码,一切一目了然。-S 目标文件 显示反汇编代码,将反汇编代码与源代码交替显示,编译时需要使用-g参数,即需要调试信息;显示全部Header信息,并显示对应的十六进制文件代码反汇编test中的需要执行指令的那些section。-s 文件名 显示头文件信息及所对十六进制信息。-h 文件名 显示各section的头信息。-j文件名 仅反汇编指定的section。-a 文件名 显示当前文件的格式。
C++反汇编函数调用与EIP修改实践
"这篇内容主要讨论了C++代码反汇编分析,特别是关于函数调用的过程以及如何在运行时动态改变程序流程,通过修改EIP寄存器来实现‘偷调函数’的功能。文中以一个简单的MyAdd函数调用为例,展示了反汇编后的代码,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值