首先写一个很简单的main函数:
int main(){ printf("main的地址(?):%08x",main); }
单步调试,可得知 main函数的真实入口地址是:00be91a0
然而我们控制台输出的值是
为什么会出现这样的差别呢?院子里有一篇大牛写的有关注入的文章:http://www.cnblogs.com/fanzhidongyzby/archive/2012/08/30/2664287.html,里面就提到了这个问题。
其中提到一个解析真实地址的算法:
//将函数地址转换为真实地址 unsigned int getFunRealAddr(LPVOID fun) { unsigned int realaddr = (unsigned int)fun;//虚拟函数地址 // 计算函数真实地址 unsigned char* funaddr = (unsigned char*)fun; if (funaddr[0] == 0xE9)// 判断是否为虚拟函数地址,E9为jmp指令 { int disp = *(int*)(funaddr + 1);//获取跳转指令的偏移量 realaddr += 5 + disp;//修正为真实函数地址 } return realaddr; }
相信新手朋友都和我一样为这段代码怎么来的摸不着头脑。特此我单步调试研究了一番,才大致明白原理:
main函数名的地址其实就是一个 Jmp xxx的指令,
从vs的反汇编调试代码可以看出,第一个参数main入栈,对应汇编代码就是 push 0be135Ch ,这个入栈的数字,其实就是刚刚控制台输出的那个地址。所以很显然这个地址就是函数main的“函数名”所在的地址(其实在汇编里应该是不存在 “main”这样的字符串的,之所以可能可以在vs或在od这样的调试器里看到,是这些调试器通过经验推断出来的结果。)。然后 我们在地址栏里输入 0be135Ch这个地址,就可以跳到 相对的位置处。
jmp 对应的汇编码为 E9, 而后面的4个字节"3F 7E 00 00",实际上是倒序的相对地址 0x00007e3f.也就是我们看到是main。当然这个地址只是代码的相对位置,如果运行之后,就要加上当前模块的基址才是绝对地址。
那么既然,这个“main”的位置只是一个跳转指令(JMP),肯定是跳转到了jmp后面跟的这个地址的位置了,也就是说这个地址就是真正的main函数的地址了。
当然,0be135Ch是从e9 3F 7E 00 00这条指令开始算的。也就是说,从e9 3F 7E 00 00的位置开始算,跳过去0x00007e3f个字节,就到了真正的main函数入口处。
所以真正的地址就是
0be135Ch+5(指令占的字节数 JMP main)+0x00007e3f=00be91a0.
所以我们再回到函数部分来。
UINT realaddr = (UINT)main;// 拆箱转换成 unsigned int 数据。代表main函数名所代表的地址 unsigned char* funcaddr = (UCHAR*)main; //这里是获取main地址所在的字节内容,其内容为“e9 3F 7E 00 00”(JMP main),所以只要判断前面的字节指令是否是e9就知道是不是真实地址了,如果是Jmp(e9)的话就不是真正的地址。 if (funcaddr[0] == 0xE9){ //因为 UCHAR* fa = funcaddr + 1;//指针移后一位,从e9到 3f. int* as = (int*)(fa); //取指针=处的int数据(共4个字节),实际上这里就是一个跳转地址。 int disp = *as; //取指针的内容 realaddr += 5 + disp;//在main地址的基础上+JMP main所占的字节+要正向跳转的字节数 }