logo标签列表

汇编中用于可变参数的有效模式

c++linuxgccassembly32-bit
7

我知道我的问题可能有点奇怪,但是请听我说明;我正在尝试动态地在C++中创建一个程序(主要是出于乐趣,还有一些编程原因),这并不像听上去那么难。要做到这一点,您需要像这样在运行时使用汇编语言:

byte * buffer = new byte[5];
*buffer = '0xE9'; // Code for 'jmp'
*(uint*)(buffer + 1) = 'address destination'; // Address to jump to

这比看起来要容易得多,因为我只针对一个平台和编译器进行目标;GCC与Linux 32位(并且仅有一个调用约定,cdecl)。因此,我正在尝试创建一个动态汇编函数,以便从触发器中重定向调用,以便我可以使用类方法作为回调(即使是使用C API库(当然是使用cdecl)的情况下)。我只需要支持指针和本地类型(char、int、short等)。

ANYTHING MyRedirect(ANY AMOUNT ARGUMENTS)
{
    return MyClassFunc('this', ANY AMOUNT ARGUMENTS);
}

上述函数是我想要使用纯汇编语言(通过C++实现内存中)创建的函数。由于该函数非常简单,它的汇编也很简单(取决于参数)。
55                      push   %ebp
89 e5                   mov    %esp,%ebp
83 ec 04                sub    $0x4,%esp
8b 45 08                mov    0x8(%ebp),%eax
89 04 24                mov    %eax,(%esp)
e8 00 00 00 00          call   <address>
c9                      leave
c3                      ret

在我的程序中,我创建了一个ASM模式生成器(因为我不太熟悉ASM,所以会查找模式)。通过指定函数需要的参数数量,这个函数可以生成汇编代码(以字节为单位,对于上述精确情况,即重定向并返回的函数)。以下是我的C++代码片段。

std::vector<byte> detourFunc(10 + stackSize, 0x90); // Base is 10 bytes + argument size

// This becomes 'push %ebp; move %esp, %ebp'
detourFunc.push_back(0x55);     // push %ebp
detourFunc.push_back(0x89);     // mov
detourFunc.push_back(0xE5);     // %esp, %ebp

// Check for arguments
if(stackSize != 0)
{
    detourFunc.push_back(0x83);     // sub
    detourFunc.push_back(0xEC);     // %esp
    detourFunc.push_back(stackSize);    // stack size required

    // If there are arguments, we want to push them
    // in the opposite direction (cdecl convention)
    for(int i = (argumentCount - 1); i >= 0; i--)
    {
        // This is what I'm trying to implement
        // ...
    }

    // Check if we need to add 'this'
    if(m_callbackClassPtr)
    {

    }
}

// This is our call operator
detourFunc.push_back(0xE8);     // call

// All nop, this will be replaced by an address
detourFunc.push_back(0x90);     // nop
detourFunc.push_back(0x90);     // nop
detourFunc.push_back(0x90);     // nop
detourFunc.push_back(0x90);     // nop

if(stackSize == 0)
{
    // In case of no arguments, just 'pop'
    detourFunc.push_back(0x5D); // pop %ebp
}

else 
{
    // Use 'leave' if we have arguments
    detourFunc.push_back(0xC9); // leave    
}

// Return function
detourFunc.push_back(0xC3);     // ret

如果我将 stackSize 指定为零,那么输出结果将是:
55                      push   %ebp
89 e5                   mov    %esp,%ebp
e8 90 90 90 90          call   <address>
5d                      pop    %ebp
c3                      ret

正如您所看到的,这是完全有效的32位汇编语言,并且如果它没有零参数并且不需要“this”指针,它将充当“MyRedirect”。问题在于,我希望实现生成ASM代码的部分,具体取决于我指定“redirect”函数将接收的参数数量。我已经在我的小型C ++程序中成功完成了这一点(破解了该模式)。

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char * argv[])
{
    int val = atoi(argv[1]);

    printf("\tpush %%ebp\n");
    printf("\tmov %%esp,%%ebp\n");

    if(val == 0)
    {
        printf("\tcall <address>\n");
        printf("\tpop %%ebp\n");
    }

    else
    {
        printf("\tsub $0x%x,%%esp\n", val * sizeof(int));

        for(int i = val; i > 0; i--)
        {
            printf("\tmov 0x%x(%%ebp),%%eax\n", i * sizeof(int) + sizeof(int));
            printf("\tmov %%eax,0x%x(%%esp)\n", i * sizeof(int) - sizeof(int));
        }

        printf("\tcall <address>\n");
        printf("\tleave\n");
    }

    printf("\tret\n");
    return 0;
}

这个函数打印出与'objdump'生成的ASM代码完全相同的模式。所以我的问题是:如果我只想要一个重定向函数,就像上面那个例子一样,不管参数是什么,它是否在只有Linux 32位的情况下都有效,或者我需要知道任何陷阱吗?例如:使用“shorts”或“chars”生成的ASM是否不同,或者这是否有效(我只测试了整数),还有如果我调用一个返回“void”的函数(这将如何影响ASM)?
我可能解释得有点含糊,所以请问而不是误解 :)
注意:我不想知道替代方案,我喜欢我的当前实现,并认为这是一个非常有趣的实现,我只是非常感谢您对这个主题的帮助。
编辑:如果感兴趣,这里是上面C++代码的一些转储:链接
6
一种很好的手动编写指令的替代方法是使用 asmjit 库(尽管名称中含有“JIT”,但它并不是一个 JIT 编译器,而是 JIT 编译器可以使用的库)。 - Tamás Szelei
@afishwhoswimsaround 那个库看起来真的很棒。确切地说,那似乎就是我需要的东西。有一个快速问题:我能否使用这个库动态创建函数(使用malloc或其他方式),以便我可以将其他函数(“钩子”)“重定向”(使用汇编“jmp”)到生成的函数吗? - Elliott Darfink
1
是的,请查看示例 http://code.google.com/p/asmjit/wiki/Examples - Christopher Oezbek
你的问题会是 byte * buffer = new byte[5]; 来自一个没有标记为代码段的内存页。你不能从数据段或未标记为代码的堆页面运行代码。曾经有数百个程序会像这样操纵代码,但在 Windows 95 后不久就停止工作了。操作系统不允许您操作页面属性。这是为了防止恶意代码大肆传播。个人认为这很糟糕,但祝你的病毒好运。 - Dan
1个回答
1

正如丹所建议的那样,您需要将内存标记为可执行。我写了一些代码供您使用。(它适用于GNU/Linux和Windows。)如果您打算永远不支持ARM、x86-64或其他平台,那么我认为您的代码没有任何缺陷(添加了可执行部分),并且它应该“始终有效”。(当然,假设其他所有内容都正常工作。)

#include <sys/mman.h>

...

n = <size of code buffer>;
p = mmap(0, n, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_PRIVATE, 0, 0);

'fish' 建议您使用 asmjit。我必须同意这一点;它比您的方法更具可移植性。然而,您说您不感兴趣其他选择。
您可能会对一些称为 "Thunking"(类似)的东西感兴趣。它基本上试图实现“用 C++ 方法替换 C 回调函数”。这实际上非常有用,但并不是您应用程序的良好设计。
希望这可以帮到您。
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接