很多時候,我們分析一個程式的構架,必須瞭解其函數的相關資訊,如何瞭解其函數資訊呢,
我們必須監測函數的起始地址,結束位址,代碼長度 等等資訊。
如何做到這一點呢,我們編程實現之。
#include <windows.h>#include <iostream.h>DWORD code(){////////////////////////////////////////////////////////////////////////////*******變數說明*******//**dwCodeBegin:本函數的開始地址//**dwCodeEnd:本函數的結束位址//**dwMyCodeAddr:自己寫的代碼的開始地址//////////////////////////////////////////////////////////////////////////DWORD dwCodeBegin , dwCodeEnd , dwMyCodeAddr;//*******指標變數*******PBYTE pMove = NULL;//*******動態擷取自己寫的代碼的開始地址*******_asm{callAA:popeaxmovdwMyCodeAddr , eax}//*******把地址賦給變數*******pMove = (PBYTE)dwMyCodeAddr;//*******向前搜尋得到函數的真正入口地址*******while(!((*pMove == 0x55) && (*(pMove + 1) == 0x8B))){pMove --;}//*******此時pMove指向函數的入口push ebp處*******dwCodeBegin = (DWORD)pMove;cout << "開始地址為:" << hex << dwCodeBegin << endl;//*******從自己寫的代碼處向後搜尋*******pMove = (PBYTE)dwMyCodeAddr;while (!((*(pMove + 1) == 0xc3) && (*pMove == 0x5D) && (*(pMove - 1) == 0xE5))){pMove ++;}//*******此時pMove指向ret的前一條指令pop ebp處*******dwCodeEnd = (DWORD)pMove;cout << "結束位址為:" << hex << dwCodeEnd << endl;return 0;}void main(){////////////////////////////////////////////////////////////////////////////*******變數說明*******//**dwFunBegAddr:函數的開始地址//**dwFunEndAddr:函數的結束位址//**dwFunCodeLen:代碼長度//**dwJmpOff:jmp到真正入口的位移//////////////////////////////////////////////////////////////////////////DWORD dwFunBegAddr , dwJmpOff , dwFunEndAddr , dwFunCodeLen;////////////////////////////////////////////////////////////////////////////*******首先得到函數真正的入口地址*******////////////////////////////////////////////////////////////////////////////*******臨時的指標變數*******PBYTE pMove = NULL;//*******首先指向函數的jmp指令*******pMove = (PBYTE)code;//*******定位到jmp後面的位移處*******pMove ++;//*******把位移賦值給變數*******dwJmpOff = *(PDWORD)pMove;//*******jmp下一條指令的地址(code + 5)+位移得到函數真正的入口地址*******dwFunBegAddr = (DWORD)code + 5 + dwJmpOff;cout << "開始地址為:" << hex << dwFunBegAddr << endl;////////////////////////////////////////////////////////////////////////////*******搜尋函數代碼,找到函數結尾處*******////////////////////////////////////////////////////////////////////////////*******首先把函數的入口地址賦給變數*******pMove = (PBYTE)dwFunBegAddr;//*******向後搜尋,直到結尾*******while (!((*(pMove + 1) == 0xc3) && (*pMove == 0x5D) && (*(pMove - 1) == 0xE5))){pMove ++;}//*******此時pMove指向ret前一條指令*******dwFunEndAddr = (DWORD)pMove;cout << "代碼結束位址為:" << hex << dwFunEndAddr << endl;//*******結束位址減去起始地址,得到代碼長度*******dwFunCodeLen = dwFunEndAddr - dwFunBegAddr;cout << "總代碼長度為:" << (int)dwFunCodeLen << endl;//*******調用函數*******code();return;}
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
