總會有一個人需要你的分享~!- 唐風 -
前幾天和柯柯交流一個小問題,說是如何在一個函數內得到調用該函數的函數地址。有點拗口,就是說如果有一個函數A(當然我們在這個問題中并不知道它是哪個函數)調用了B函數,現在希望用個什么辦法得到A函數的地址。
我首先聯想到的是,一般調試器都能給出嵌套的函數調用關系。那么肯定是有什么辦法解決這個問題。上網查了一通之后只找到一些debug用的API和一些開發環境提供的調整宏等等,感覺不是很適用。后來想想,函數調用都涉及到“函數調用棧”(call stack),也許這里可以得到些什么信息。隱約回想起以前匯編課里老師講過的一些函數調用時要“壓棧”、“要保存現場”等,但已經記得不太清楚了,于是就又上網找了些函數調用棧的知識,發現了一些有意思的信息(上網時看到ChinaUnix上的一篇,也是轉的,原地址和作者不詳,如果你知道請告訴我):
這里我最關心的是:函數調用時,會在棧里壓入返回地址,和EBP。
因為函數調用的返回地址,正是調用指令Call的下一個指令的地址,那么,有了返回地址,就可以得到Call指令的位置了。有Call指令的位置又能干什么呢?幸好匯編課里的知識還記得一點點:Call指令就是一個跳轉指令,它可以讓IP(instruction point[Thanks to RednaxelaFX])指向要跳轉的指令的地址,從那里開始執行。對于函數調用來說,就是讓IP指向被調用的函數的地址。Call指令的操作數其實和被調用函數的地址有非常重要的關系。有了Call指令的操作數,就可以計算出被調用函數的地址。
但僅僅有這個還不夠,比如,A調用了B,那么在A函數中肯定有一個Call指令,但這個Call指令中的操作數是和B函數地址相關的,與A的函數地址直接關系不大(至少在沒有其它信息的情況下,不能計算出A的地址)。而我們要得到的卻是A函數的地址。所以,得向上再找一層,找到調用A函數的地方,那個地方的Call指令里的操作數才和A函數地址有關。也就是說,Z函數調用了A函數,A函數調用了B函數。現在要得到A函數的地址,我們得在Z函數里找Call指令的操作數。這時候EBP就派上用場了。本地編譯器在每個函數體之前插入的指令(PUSH EBP; MOV EBP ESP)構造了一個巧妙的結構,使得我們可以順著函數調用棧一層一層向上,找到所有調用關系。
如何向上查找呢?我們看看函數調用時棧、EBP的值的情況就知道了。
假設現在函數在正Z函數內執行,那么此時棧和EBP的值可能是像下圖這樣的: 我們先不管現在EBP指向的內存(0x000f)中的內容XXX是什么(要不然會是雞生蛋生雞的問題),總之目前在棧中的著色塊中的內容是屬于函數Z的參數,Z執行結束后應該返回的地址以及Z函數的局部變量值。 現在Z函數調用A函數,會先將傳給A的參數壓棧,然后將現在這個指令(就是"Call A"啦)的下一個指令的地址壓入棧中,以便A函數完后返回到Z中繼續執行。然后進入A函數的內存空間,首先就是調用PUSH EBP,也就是將Z的EPB的內容(地址0x000f)壓入棧中,然后再MOV EBP ESP,讓EBP有一個新的棧頂(此時棧頂中的內容不就是Z函數時EBP的內容么?),然后再將A函數的局部變量壓入棧中,開始執行A函數的代碼。這時,棧和EBP的情況就像如圖所示了: 哈,這樣就很清楚了,原來現在的EBP中的內容,正是上一級函數的EBP中的內容。而每一個函數的EBP指向的位置,向棧頂可以得到該函數的局部變量,向棧底可以得到函數的返回地址和參數。于是我們就可以根據這個結構層層向上,找到任何一層我們想找的函數EBP,從而也就能得到相應的返回地址了。 好,從B函數中得到Z函數對A函數調用點的返回地址的問題也就解決了。現在就是處理Call指令的問題了。 我在Visual Studio 2003的Debug版中進行反匯編調試,發現Call指令對應的機器指令都是5個byte,第一個byte(E8)是指令的器碼,猜想后面4個byte應該就是它的轉移的目標地址了。結果按這個地址去找,發現根本不對,想想匯編也忘得差不多了,于是又去找了教程看看,才記起原來Call的操作數并不是絕對地址,而是偏移地址(跳轉目標地址-Call指令地址-sizeof(Call指令)),這樣就好辦了,我有返回地址,于是就有了向上5個byte就是Call的地址,再從這個地址中取出Call指令機器碼的后四個字節,加上返回地址,就得到了目標地址。 原以為已經搞定了。不過還有一個小插曲,就是在VS的Debug版中,Call并不直接跳到一函數中去(不知道為什么),而是跳到一塊代碼區,這塊區域內排布了很多的Jmp指令用于各種跳轉(不知道為什么這么搞,也許是為調試的功能而設計的吧,誰知道?還請不吝賜教),不過沒關系,也就是多走一點路而已,Jmp指令的操作數和Call指令的意義是一樣的,最終Jmp是跳到函數代碼塊中去的。于是也就得到了想要的結果。 下面是代碼: 1#include "stdafx.h" 2 3#include <string> 4 5unsigned int GetCallerAddress(void) 6{ 7 unsigned int _ebp; 8 __asm mov _ebp, ebp 910 for (int i=2; i != 0; --i) {11 _ebp = *(unsigned int *)(_ebp);12 }13 unsigned int* ipAddress = (unsigned int*)(*(unsigned int *)(_ebp + 4));1415 ipAddress = (unsigned int*)((unsigned char *)ipAddress - 5);16 unsigned int callInstructAddress = (unsigned int)ipAddress;17 ipAddress = (unsigned int*)((unsigned char *)ipAddress + 1);18 int funcAddrOffset = *ipAddress;19 unsigned int *jumAddr = (unsigned int*)(callInstructAddress + funcAddrOffset + 5); 20 callInstructAddress = (unsigned int)jumAddr;21 jumAddr = (unsigned int*)((unsigned char *)jumAddr + 1);22 funcAddrOffset = *jumAddr;23 24 return funcAddrOffset + callInstructAddress + 5; 25}2627void fun1();2829void fun2()30{31 fun1();32}3334void fun3()35{36 fun1();37}383940void fun1()41{42 unsigned int _ebp;43 __asm mov _ebp, ebp // 取當前EBP44 unsigned int _preEbp = *(unsigned int *)(_ebp); //得到上層函數的EBP45 unsigned int* ipAddress = (unsigned int*)(*(unsigned int *)(_preEbp + 4)); // 取得返回地址46 ipAddress = (unsigned int*)((unsigned char *)ipAddress - 5); // 得到Call指令地址 47 unsigned int callInstructAddress = (unsigned int)ipAddress; // 保存Call指令地址 48 ipAddress = (unsigned int*)((unsigned char *)ipAddress + 1); 49 int funcAddrOffset = *ipAddress; // 得到Call指令操作數50 unsigned int *jumAddr = (unsigned int*)(callInstructAddress + funcAddrOffset + 5); // 找到Jmp指令51 callInstructAddress = (unsigned int)jumAddr; // 保存jmp指令地址52 jumAddr = (unsigned int*)((unsigned char *)jumAddr + 1); 53 funcAddrOffset = *jumAddr; // 得到jmp指令操作數54 unsigned int addr = funcAddrOffset + callInstructAddress + 5; //得到函數地址5556 // 或者:unsigned int addr = GetCallerAddress();57 printf("fun1 said : Caller Addres is 0x%08x\n", addr);58}5960int _tmain(int argc, _TCHAR* argv[])61{62 fun1();63 fun2();64 fun3();6566 return 0;67}6869
我們先不管現在EBP指向的內存(0x000f)中的內容XXX是什么(要不然會是雞生蛋生雞的問題),總之目前在棧中的著色塊中的內容是屬于函數Z的參數,Z執行結束后應該返回的地址以及Z函數的局部變量值。
現在Z函數調用A函數,會先將傳給A的參數壓棧,然后將現在這個指令(就是"Call A"啦)的下一個指令的地址壓入棧中,以便A函數完后返回到Z中繼續執行。然后進入A函數的內存空間,首先就是調用PUSH EBP,也就是將Z的EPB的內容(地址0x000f)壓入棧中,然后再MOV EBP ESP,讓EBP有一個新的棧頂(此時棧頂中的內容不就是Z函數時EBP的內容么?),然后再將A函數的局部變量壓入棧中,開始執行A函數的代碼。這時,棧和EBP的情況就像如圖所示了:
哈,這樣就很清楚了,原來現在的EBP中的內容,正是上一級函數的EBP中的內容。而每一個函數的EBP指向的位置,向棧頂可以得到該函數的局部變量,向棧底可以得到函數的返回地址和參數。于是我們就可以根據這個結構層層向上,找到任何一層我們想找的函數EBP,從而也就能得到相應的返回地址了。
好,從B函數中得到Z函數對A函數調用點的返回地址的問題也就解決了。現在就是處理Call指令的問題了。
我在Visual Studio 2003的Debug版中進行反匯編調試,發現Call指令對應的機器指令都是5個byte,第一個byte(E8)是指令的器碼,猜想后面4個byte應該就是它的轉移的目標地址了。結果按這個地址去找,發現根本不對,想想匯編也忘得差不多了,于是又去找了教程看看,才記起原來Call的操作數并不是絕對地址,而是偏移地址(跳轉目標地址-Call指令地址-sizeof(Call指令)),這樣就好辦了,我有返回地址,于是就有了向上5個byte就是Call的地址,再從這個地址中取出Call指令機器碼的后四個字節,加上返回地址,就得到了目標地址。
原以為已經搞定了。不過還有一個小插曲,就是在VS的Debug版中,Call并不直接跳到一函數中去(不知道為什么),而是跳到一塊代碼區,這塊區域內排布了很多的Jmp指令用于各種跳轉(不知道為什么這么搞,也許是為調試的功能而設計的吧,誰知道?還請不吝賜教),不過沒關系,也就是多走一點路而已,Jmp指令的操作數和Call指令的意義是一樣的,最終Jmp是跳到函數代碼塊中去的。于是也就得到了想要的結果。
下面是代碼:
PS:后經柯柯驗證,只有VC6、2003、2008的Debug版里才有效。Release版中不行,具體原因未細查(沒時間,畢竟不是"正務",呵呵)。以后再遇到時再細究吧。至少,現在對函數調用棧有了一些新的認識。很開心,呵呵呵。
Powered by: C++博客 Copyright © 唐風