COM Hook原理
掌握C++对象模型底层知识的人都知道,C++利用虚函数的机制来实现运行期的多态。
例如一个类申明如下:
{
public:
A(){}
~A(){}
virtual void f1(){ printf("Founction f1 called\n"); }
virtual void f2(){ printf("Founction f2 called\n"); }
virtual void f3(){ printf("Founction f3 called\n"); }
private:
int n;
};
那么A对象在内存中的结构图大概如下:
(缺失)
如上图:可以看到A对象的前4个字节是虚函数表的指针vptr,而虚函数表本身又是一个数组。所以vptr可以看作一个指向指针的指针。
那么已知pA为A对象指针,我们如果想得到虚函数表的地址,只需要如下即可。
long** pplVrtable= (long**)(pA);
我们可以为类A添加一个成员函数确认一下。
void A::reset_f1()
{
long** pplVrtable= (long**)(this); //取得虚函数表的指针
*pplVrtable = *pplVrtable +1;//将虚函数表的指针指向虚函数表第二个值。
}
测试代码:
int main(int argc, char* argv[])
{
A* pA = new A;
pA->reset_f1();
pA->f1();
delete pA;
return 0;
}
运行输出:
Founction f2 called.
结果证实虚函数表的指针已经被成功修改,对于成员函数f1的调用变成了对f2的调用.
但是我们这里修改的只是虚函数指针,那么我们可不可以直接修改虚函数表那?
试一下看看,修改代码如下:
void A::reset_f1()
{
long** pplVrtable= (long**)(this); //取得虚函数表的指针
(*pplVrtable)[0]= (*pplVrtable)[1];//将虚函数表的第一个值设置为虚函数表第二个值。
}
运行,结果程序crash了,看样子虚函数表这块内存是被系统保护了,看似山重水复疑无路了,不过没关系,Windows提供了一组针对内存保护的函数:
VirtualQueryEx, VirtualProtectEx,(相关定义和使用方法,可以看看MSDN).
利用这两个函数我们可以实现修改虚函数表的功能,再次修改代码如下:
{
//long** pplVrtable= (long**)(this); //取得虚函数表的指针
//*pplVrtable = *pplVrtable +1; //将虚函数表的指针指向虚函数表第二个值。
//long** pplVrtable= (long**)(this); //取得虚函数表的指针
//(*pplVrtable)[0]= (*pplVrtable)[1];//将虚函数表的第一个值设置为虚函数表第二个值。
long** pplVrtable= (long**)(this);
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ::GetCurrentProcessId());
MEMORY_BASIC_INFORMATION mbi = {0};
if (VirtualQueryEx(hProcess, (LPVOID)(*pplVrtable), &mbi, sizeof(mbi)) != sizeof(mbi))
return;
DWORD dwOldProtect = 0;
if(!::VirtualProtectEx(hProcess, mbi.BaseAddress, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect))
return;
(*pplVrtable)[0] = (*pplVrtable)[1];
DWORD dwTemp = 0;
::VirtualProtectEx(hProcess, mbi.BaseAddress, 4, dwOldProtect, &dwTemp);
CloseHandle(hProcess);
}
运行输出:
Founction f2 called.
结果与预期一样,虚函数表终于被成功修改了.
因为COM接口是没有成员变量的只有纯虚函数的类,其虚函数指针在内存分配上具有唯一性,所以我们可以通过以上的技术实现对所有COM接口成员函数的HOOK.(#add,即修改vPtr和v地址来实现)
posted on 2012-02-22 14:35 Hibernate4 阅读(277) 评论(0) 编辑 收藏 举报
