mockcpp的ApiHook实现原理

简介:
相关汇编知识
call 指令
        它会自动进行ret addr的压栈。
 
ret n 指令
        它会自动退栈,用于stdcall的时候。(与默认的cdecl相比,不用每个调用处都产生一条调整栈的指令 add esp,n
        ret之后的n只能是立即数,不能是寄存器。
 
ret 指令(包括ret 和 ret n)
       它会把栈顶的ret addr作为下一步要执行的位置,从而跳转到返回地址处。
 
参数传递
      这里考虑的是intel架构CPU,所有参数都通过栈传递,并且进入函数func(para1, para2, ...)时,栈顶是ret addr,继续向栈底方向,依次是para1、para2、...
 
mockcpp的ApiHook背景
1、ApiHook的主要优势在于不侵入源代码,即可对已有的函数打桩。
 
2、ApiHook通过把被mock函数打桩为hook函数的方式,实现模拟函数的功能。
 
3、ApiHook必须把被mock的函数地址传递给hook方法,以便查找mock规范。
 
stdcall的api hook实现基本原理分析
编译器可以根据函数的参数自动推导出ret n的n的值,利用这个特点,我们把hook声明为stdcall类型,编译器就会自动帮我们推导出n了。
这样一来,我们的thunk代码就变得非常简单了,把old addr放到栈里面,作为参数传递给hook(以便根据old addr查找mocker),
不要用call hook,而是直接jmp hook,这样在hook返回时执行ret n就把栈恢复到了跳进thunk之前的状态了,一切mock替换完成了。
实现中,需要注意jmp hook时,需要保证栈顶位置是ret addr,所以得到的thunk代码如下:
const unsigned char thunkCodeTemplateStdcall[] = 

0xB8, 0x00, 0x00, 0x00, 0x00, // mov eax, [new_addr]
0xB9, 0x00, 0x00, 0x00, 0x00, // mov ecx, [old_addr]
0x5A, // pop edx
0x51, // push ecx
0x52, // push edx
0xFF, 0xE0 // jmp eax
};
 
栈的变化图
上面部分是进入thunk前的栈结构,下面部分是进入thunk后的栈结构(包含了上面部分)
| frame pointer |<-- ebp
| local vars |
| parameters | para1, para2, ...
| ret addr | call func_to_be_mocked(para1,para2, ...)

| func_to_be_mocked: jmp to thunk 
V
|->| frame pointer | 
| | local vars |
| | parameters | 
| | old addr | thunk begin, pop ret addr, push old addr, push ret addr =&gt; make ret addr at stack top 
|--| ret addr | and then jmp hook(old_addr, para1, para2, ...)
| new frame pointer | hook begin
|-------------------| <- ebp
| local vars |
| | 
| | 


mov eax, [new_addr]
mov ecx, [old_addr] 
pop edx ; pop ret addr
push ecx
push edx
jmp eax

hook function is:
hook(unsigned int old_addr, ...)
 
默认调用约定的apihook实现基本原理分析
默认调用约定(或者说是VC的cdecl调用约定),是需要调用者(caller)在被调函数(callee)返回后,再执行一条指令add esp,n来退栈的(清除栈中保存的被调函数需要的参数)。
这种情况下,调用者只能根据自己为了调用被调函数callee而push到栈中的参数(也就是被调函数声明的参数)来退栈。
所以,我们不能类似stdcall那样直接jmp hook的方式来实现,只能用thunk来模拟一个函数,在thunk中调用hook,注意thunk代码要像真正的函数一样来维护栈,包括hook返回后的栈顶调整(可能是mov esp,ebp ,或者leave,或者别的add esp, n)。
thunk需要完成的功能就是把old addr放入栈中,然后调用hook,并且保证hook能得到old addr。
最终得到的thunk代码如下:
const unsigned char thunkCodeTemplate[] = 

0x55, // push ebp
0x8B, 0xEC, // mov ebp, esp
0xB8, 0x00, 0x00, 0x00, 0x00, // mov eax, [new_addr]
0xB9, 0x00, 0x00, 0x00, 0x00, // mov ecx, [old_addr]
0x51, // push ecx
0xFF, 0xD0, // call eax
0xC9, // leave
0xC3 // ret
};
 
栈的变化图
上面部分是进入thunk前的栈结构,下面部分是进入thunk后的栈结构(包含了上面部分)
| frame pointer |&lt;-- ebp
| local vars |
| parameters | para1, para2, ...
| ret addr | call func_to_be_mocked(para1,para2, ...)

| func_to_be_mocked: jmp to thunk 
V
|->| frame pointer | 
| | local vars |
| | parameters | 
| | ret addr | 
|--| frame pointer | thunk begin
| old addr | 
| ret addr | call hook(old_addr, unused, unused, para1, para2, ...)
| new frame pointer | hook begin
|-------------------| &lt;- ebp
| local vars |
| | 
| | 


push ebp
mov ebp, esp
mov eax, [new_addr]
mov ecx, [old_addr] 
push ecx
call eax
leave 
ret 

note: leave equals to 
mov esp,ebp 
pop ebp

hook function is:
hook(unsigned int old_addr, void* unused1, void* unused2, ...)
 
根据汇编指令查找机器指令的方法
 
1、写一段嵌入汇编指令的C/C++程序。(把自己需要查找机器码的汇编指令写进去,至于程序是否能运行不用考虑)
int main()
{
_asm 

pop edx; 
push edx; 
jmp eax; 
push ecx;
call eax;
}
}
 
注:
最好包含几条熟悉机器指令的汇编语句,便于在hiew中定位到关注的代码的位置。
我上面最后两条指令是知道机器码的:
0x51, // push ecx
0xFF, 0xD0, // call eax
 
2、用Hiew打开1的代码编译出的可执行文件,按F4切换到Decode模式,然后按F7搜索你熟悉的机器码,比如51,很可能就一次定位到你期望的位置。
 
 
 
 





本文转sinojelly51CTO博客,原文链接:http://blog.51cto.com/sinojelly/431896 ,如需转载请自行联系原作者
相关文章
|
11天前
|
存储 JavaScript 前端开发
事件队列的实现原理
【10月更文挑战第15天】事件队列的实现原理
36 6
|
3月前
|
Java
【多线程面试题十六】、谈谈ReentrantLock的实现原理
这篇文章解释了`ReentrantLock`的实现原理,它基于Java中的`AbstractQueuedSynchronizer`(AQS)构建,通过重写AQS的`tryAcquire`和`tryRelease`方法来实现锁的获取与释放,并详细描述了AQS内部的同步队列和条件队列以及独占模式的工作原理。
【多线程面试题十六】、谈谈ReentrantLock的实现原理
|
3月前
|
网络协议
实现原理
面向连接:是指TCP是通过服务端和客户端进行连接的协议 面向字节流:TCP服务端和客户端之间的数据通讯是通过字节流数据传输的
|
3月前
|
Java 调度
【多线程面试题十四】、说一说synchronized的底层实现原理
这篇文章解释了Java中的`synchronized`关键字的底层实现原理,包括它在代码块和方法同步中的实现方式,以及通过`monitorenter`和`monitorexit`指令以及`ACC_SYNCHRONIZED`访问标志来控制线程同步和锁的获取与释放。
|
6月前
|
网络协议 小程序 测试技术
ChaoBlade 的实现原理
【4月更文挑战第6天】ChaoBlade 的实现原理
221 3
ChaoBlade 的实现原理
|
6月前
|
存储 前端开发 Java
深入剖析ThreadLocal使用场景、实现原理、设计思想
深入剖析ThreadLocal使用场景、实现原理、设计思想
深入剖析ThreadLocal使用场景、实现原理、设计思想
|
PHP 计算机视觉
PHPGrafika 如何实现圆角图片
PHPGrafika 如何实现圆角图片 在网站开发中,圆角图片是非常常见的一种设计元素。使用 PHPGrafika 库可以很方便的实现圆角图片的制作。本文将介绍如何使用 PHPGrafika 库制作圆角图片的方法。
109 0
|
数据采集 算法 安全
GSI服务的实现原理是什么?
答:通过光算科技自研的GPC爬虫池系统。 GSI服务,全称Google Search Infrastructure服务,是Google用来处理和返回用户搜索查询结果的基础设施。 这个基础设施包括了庞大的硬件和软件系统,通过复杂的算法和技术,它可以在瞬间处理数亿的搜索查询,返回相关且有价值的结果。 下面,我们将深入探讨GSI服务的实现原理。
191 0
GSI服务的实现原理是什么?
|
存储 SQL 监控
Java线程池实现原理详解
在面向对象编程中,创建和销毁对象是很费时间的,因为创建一个对象要获取内存资源或者其它更多资源。在Java中更是如此,虚拟机将试图跟踪每一个对象,以便能够在对象销毁后进行垃圾回收。所以提高服务程序效率的一个手段就是尽可能减少创建和销毁对象的次数,特别是一些很耗资源的对象创建和销毁。如何利用已有对象来服务就是一个需要解决的关键问题,其实这就是一些"池化资源"技术产生的原因
114 0
Java线程池实现原理详解
|
存储 并行计算 安全
ConcurrentHashMap的使用方法及其内部实现原理
ConcurrentHashMap的使用方法及其内部实现原理
179 0