这里想说的是:代码中的关键点为用指令jmp pFunc跳转到你想要运行的函数pFunc。
指令“jmp xxxx”占5个字节,代码中用了个一字节对齐的结构体struct Thunk ,
当然也能够用 unsigned char code[5]; 说还有一个关键点就是地址计算了,jmp xxxx指令用了相对跳转地址,
相对地址 = 要跳转函数的地址 - “jmp xxxx”指令的下一条指令的地址。
以下代码中的class C 仅仅有m_thunk一个数据成员,没有虚函数和在m_thunk前没有声明别的数据成员,
因此相对地址 = pFunc - [ (int)this + sizeof(struct Thunk) ]
如上所述,若有虚函数和在m_thunk前声明了别的数据成员,则相对地址的计算要做改动。
:)本来画个表会说得比較清楚,但本人嫌麻烦,就作罢了!
/////////////////////////////////////////////以下是所转的文章////////////////////////////////////////////////////////////////////////////////
|
实际上C++ 的THUNK技术是须要改变指令代码的,这里发一个贴说明之
// 此程序演示 执行时 改变 指令代码
//实质是 C++ 实现多态 的 THUNK 技术思想的简陋模拟
//在VC6.0 中编译通过。
#include <windows.h>
#include <iostream.h>
typedef void(*pFUN)(); //函数类型
#pragma pack(push,1) //强制编译器,使数据按字节边界对齐。
//默认情况下VC6.0是按4字节对齐,VC7.0按8字节对齐
//指令本不是按双字边界对齐的,所以必须使其按字节边界对齐,否则出错
// 以下是存储机器代码的结构
struct Thunk //有趣的是:这个结构不储存数据,而是储存指令。一个jmp跳转指令
{ //我们将改变这个结构,然后让程序运行此代码,此结构的运行将会改变程序的运行路径
BYTE m_jmp; // 储存jmp指令的操作码
DWORD m_adrr; // 储存相对jmp指令的偏移地址(指令操作数)
}; //
#pragma pack(pop)//撤销数据按字节对齐,数据按双字对齐的主要目的是优化运行速度
class C
{
public:
Thunk m_thunk; //产生一个 Thunk 实例
void Init(pFUN pFun)
{
m_thunk.m_jmp = 0xe9;// 跳转指令的操作码是 0xe9 所以。。。
m_thunk.m_adrr = (int)pFun - ((int)this+sizeof(Thunk));
// JMP跳转是相对跳转,也就是说:它是跳转到的地址是: 当前指令地址(EIP)+相对操作数
// 相对操作数有符号的!
//当指令运行到Thunk 中指令的时候,我们须要跳转到pFun,而当前EIP指为(int)this+sizeof(Thunk)
//原因:在顺序运行指令时,EIP在运行一条指令后会自己主动增,这里当然增的是sizeof(Thunk)
//又因为没有virtual指针,所以 m_thunk的地址就是this指向地址,可是运行此指令后EIP会自己主动加,
//所以EIP内容为(int)this+sizeof(Thunk)
//所以 pFun=m_thunk.m_adrr+((int)this+sizeof(Thunk)),移项可得上式
FlushInstructionCache(GetCurrentProcess(),
&m_thunk, sizeof(m_thunk)); //强制刷新指令缓冲,
//目的是使指令CACHE与主存相一致
}
//实验的第一函数
void function()
{
// 初始化thunk
// 获得thunk代码地址
pFUN pFun = (pFUN)&(m_thunk);
// 调用StaticFun
pFun();
}
static void Fun1()
{
cout << "this is Fun1" << endl;
}
static void Fun2()
{
cout << "this is Fun2" << endl;
}
};
int main()
{
C *pC=new C;
pC->Init(C::Fun1);
|