Windows API一日一練(84)FlushInstructionCache函數
一般的程式都是在運行前已經編譯好的,因此修改指令的機會比較少,但在軟體的防確解裡,倒是使用很多。當修改指令之後,怎麼樣才能讓CPU去執行新的指令呢?這樣就需要使用函數FlushInstructionCache來把緩衝裡的資料重寫回主記憶體裡去,讓CPU重新載入新的指令,才能執行新的指令。下面就來學習一下使用這個函數來實現跳到一個靜態函數裡執行,而不是直接地調用這個函數。
函數FlushInstructionCache聲明如下:
WINBASEAPI
BOOL
WINAPI
FlushInstructionCache(
__in HANDLE hProcess,
__in_bcount_opt(dwSize) LPCVOID lpBaseAddress,
__in SIZE_T dwSize
);
hProcess是進程控制代碼。
lpBaseAddress是要同步記憶體的開始地址。
dwSize是要同步記憶體的大小。
調用函數的例子如下:
#001 //聲明函數類型。
#002 typedef void (*TESTFUN)(void);
#003
#004 //定義修改代碼的結構。
#005 #pragma pack(push,1)
#006 struct ThunkCode
#007 {
#008 BYTE m_jmp; // jmp TESTFUN,跳轉指令。
#009 DWORD m_relproc; // relative jmp,相對跳轉的位置。
#010 };
#011 #pragma pack(pop)
#012
#013 //測試動態修改記憶體裡的指令資料。
#014 //蔡軍生 2007/12/06 QQ:9073204 深圳
#015 class CFlush
#016 {
#017 public:
#018 //儲存動態修改代碼的記憶體。
#019 ThunkCode m_Thunk;
#020
#021 //初始化跳轉代碼。
#022 void Init(TESTFUN pFun, void* pThis)
#023 {
#024 //設定跳轉指標。
#025 m_Thunk.m_jmp = 0xe9;
#026
#027 //設定跳轉的相對位址。
#028 m_Thunk.m_relproc = (int)pFun - ((int)this+sizeof(m_Thunk));
#029
#030 //把CPU裡的緩衝資料寫到主記憶體。
#031 FlushInstructionCache(GetCurrentProcess(),
#032 &m_Thunk, sizeof(m_Thunk));
#033 }
#034
#035 //真實啟動並執行函數。
#036 static void TestFun(void)
#037 {
#038 OutputDebugString(_T("CFlush 動態修改代碼運行/r/n"));
#039 }
#040
#041 };
#042
如下調用這個類:
#001 //測試回合。
#002 CFlush flushTest;
#003
#004 flushTest.Init(flushTest.TestFun,&flushTest);
#005 TESTFUN pTestFun = (TESTFUN)&(flushTest.m_Thunk);
#006 pTestFun();