成员函数指针，动态绑定(vc平台）

上一篇介绍了gcc对成员函数指针做了thunk的处理，本篇介绍vc对成员函数指针如何处理，还有动态绑定相关的处理。

同样用回上一篇的例子：

struct point {float x,y;};
struct obj
{
  virtual ~obj {}
  void foo(int) {}
  void foo(point) {}
  virtual void vfoo() {}
};
struct objobj : public obj
{
  virtual ~objobj {}
  virtual void vfoo() {}
};

void main()
{
    obj o;
        objobj oo;
        //void* pofp = (void*) (void(obj::*)(point))&obj::foo;    // error C2440: “类型转换”: 无法从“void (__cdecl obj::* )(point)”转换为“void *”
        void(obj::*pi)(int) = &obj::foo;
        void(obj::*pp)(point) = &obj::foo;
        void(objobj::*vp)() = &objobj::vfoo;
        NOOP
        ((&oo)->*vp)();
        NOOP
        ((&oo)->*pi)(1);
        NOOP
        ((&o)->*pp)(pt);
}

成员函数指针定义以及调用的代码，所对应的反汇编：

00000001`3f461159 488d05e6feffff  lea     rax,[test!ILT+65(?fooobjQEAAXHZ) (00000001`3f461046)]
00000001`3f461160 48898424d8000000 mov     qword ptr [rsp+0D8h],rax            ; void(obj::*pi)(int) = &obj::foo;
00000001`3f461168 488d05b4feffff  lea     rax,[test!ILT+30(?fooobjQEAAXUpointZ) (00000001`3f461023)]
00000001`3f46116f 48898424e0000000 mov     qword ptr [rsp+0E0h],rax            ; void(obj::*pp)(point) = &obj::foo;
00000001`3f461177 488d05b9feffff  lea     rax,[test!ILT+50(??_9objobj$B7AA) (00000001`3f461037)]
00000001`3f46117e 48898424e8000000 mov     qword ptr [rsp+0E8h],rax            ; void(objobj::*vp)() = &objobj::vfoo;
00000001`3f461186 488d8c2498000000 lea     rcx,[rsp+98h]
00000001`3f46118e ff9424e8000000  call    qword ptr [rsp+0E8h]        ; ((&oo)->*vp)(); test!ILT+50(??_9objobj$B7AA) (00000001`3f461037)
00000001`3f461195 ba01000000      mov     edx,1
00000001`3f46119a 488d8c2498000000 lea     rcx,[rsp+98h]
00000001`3f4611a2 ff9424d8000000  call    qword ptr [rsp+0D8h]        ; ((&oo)->*pi)(1); test!ILT+65(?fooobjQEAAXHZ) (00000001`3f461046)

 上面有三处指针赋值，被赋地址分别信息分别如下：

test!ILT+65(?fooobjQEAAXHZ):
00000001`3f461046 e955020000      jmp     test!obj::foo (00000001`3f4612a0)
0:000> dt 00000001`3f4612a0
obj::foo
 void  test!obj::foo+0(
    int)

test!ILT+30(?fooobjQEAAXUpointZ):
00000001`3f461023 e9a8020000      jmp     test!obj::foo (00000001`3f4612d0)
0:000> dt 00000001`3f4612d0
obj::foo
 void  test!obj::foo+0(
    point)

test!ILT+50(??_9objobj$B7AA):
00000001`3f461037 e964050000      jmp     test!objobj::`vcall'{8}' (00000001`3f4615a0)
0:000> dt 00000001`3f4615a0
objobj::`vcall'{8}'
Symbol  not found.
0:000> u 00000001`3f4615a0 L3
test!objobj::`vcall'{8}':
00000001`3f4615a0 488b01          mov     rax,qword ptr [rcx]
00000001`3f4615a3 ff6008          jmp     qword ptr [rax+8]        ; => jmp test!objobj::vfoo

函数的调用都经由一个间接跳转，这是hook的基础，天生带上了M属性，这不是本篇的主题。忽视这个间接跳转（或者看作短路），我们认为非虚的成员函数指针直接指向成员函数本体，但是虚函数指针指向的是一小块类似thunk的处理代码。虚函数是动态绑定的，thunk相关的处理是必要的。vc编译器在可以正确分析出绑定的情况下，将这段thunk处理内联到调用处罢了。

SDK中使用thunk的地方还有，atlthunk.h, olecall_.s, oledisp1.cpp, qithunk.s, stdcallthunk.s。这些使用thunk的地方大都与com相关，目的各不相同。例如，qithunk.s就是queryinterface thunk，也就是用于调试com， 别有用心加了一层模仿IUnknown调用虚函数的过程，使得com的方法被调用前都必须先经过qithunk的虚函数，从而可以被中断而不用知道执行的是哪种具体的com。当你不知道com的调试信息时，也可以中断到com的每个方法入口。qithunk是这里面我认为比较容易分析的，只要了解IUKnown接口和虚函数表就可以分析了。

又如IDispatch是用于实现动态绑定的接口，vbscript和jscript中使用到的对象都实现了这个接口。在script中调用对象的属性或方法时，是通过属性名或方法名来绑定com的执行函数。这种方式跟objc的消息调用在形式上有点像。window.getElementById("form"), 调用的是window.invoke(GETDISPID("getElementById"), ..., args("form"),...); 在objc中[window getElementById:"form"]，调用是objc_sendMsg(window, "getElementById:", "form");
本篇浅略提及了thunk和动态绑定，有了感性认识后，分析objc中SEL的动态绑定就不会太陌生了。分析objc的文章也请在未来的日子关注。