Question

感觉就像我在滥用Stackoverflow所有的问题，但毕竟它是一个Q＆amp; A论坛:)无论如何，我一直在使用弯路一段时间，但我还没有实现我自己的一个（我之前用过包装纸。既然我想完全控制我的代码（谁没有？）我决定自己实现一个功能齐全的绕行器，所以我可以理解我代码的每一个字节。

代码（下面）尽可能简单，但问题不然。我已经成功实现了绕道（即我自己的功能的钩子）但我无法实现蹦床。

每当我调用蹦床时，根据我使用的偏移量，我会得到“分段错误”或“非法指令”。两种情况都结束了相同; '核心倾销'。我认为这是因为我混淆了“相对地址”（注意：我对Linux很新，所以我远远没有掌握GDB）。

如代码中所述，取决于sizeof(jmpOp)（在第66行），我得到非法指令或分段错误。我很抱歉，如果这是显而易见的事情，我熬夜太晚了......

// Header files
#include <stdio.h>
#include <sys/mman.h>
#include <unistd.h>
#include "global.h" // Contains typedefines for byte, ulong, ushort etc...
#include <cstring>

bool ProtectMemory(void * addr, int flags)
{
    // Constant holding the page size value
    const size_t pageSize = sysconf(_SC_PAGE_SIZE);

    // Calculate relative page offset
    size_t temp = (size_t) addr;
    temp -= temp % pageSize;

    // Update address
    addr = (void*) temp;

    // Update memory area protection
    return !mprotect(addr, pageSize, flags);
}

const byte jmpOp[] = { 0xE9, 0x00, 0x00, 0x00, 0x00 };

int Test(void)
{
    printf("This is testing\n");
    return 5;
}

int MyTest(void)
{
    printf("This is ******\n");
    return 9;
}

typedef int (*TestType)(void);

int main(int argc, char * argv[])
{
    // Fetch addresses
    byte * test = (byte*) &Test;
    byte * myTest = (byte*) &MyTest;

    // Call original
    Test();

    // Update memory access for 'test' function
    ProtectMemory((void*) test, PROT_EXEC | PROT_WRITE | PROT_READ);

    // Allocate memory for the trampoline
    byte * trampoline = new byte[sizeof(jmpOp) * 2];

    // Do copy operations
    memcpy(trampoline, test, sizeof(jmpOp));
    memcpy(test, jmpOp, sizeof(jmpOp));

    // Setup trampoline
    trampoline += sizeof(jmpOp);
    *trampoline = 0xE9;

    // I think this address is incorrect, how should I calculate it? With the current
    // status (commented 'sizeof(jmpOp)') the compiler complains about "Illegal Instruction".
    // If I uncomment it, and use either + or -, a segmentation fault will occur...
    *(uint*)(trampoline + 1) = ((uint) test - (uint) trampoline)/* + sizeof(jmpOp)*/;
    trampoline -= sizeof(jmpOp);

    // Make the trampoline executable (and read/write)
    ProtectMemory((void*) trampoline, PROT_EXEC | PROT_WRITE | PROT_READ);

    // Setup detour
    *(uint*)(test + 1) = ((uint) myTest - (uint) test) - sizeof(jmpOp);

    // Call 'detoured' func
    Test();

    // Call trampoline (crashes)
    ((TestType) trampoline)();
    return 0;
}

如果感兴趣，这是正常运行期间的输出（具有上面的确切代码）：

This is testing
This is **
Illegal instruction (core dumped)

如果我在第66行使用+/- sizeof（jmpOp），结果就是这样：

This is testing
This is ******
Segmentation fault (core dumped)

注意：我正在运行Ubuntu 32位并使用g++ global.cpp main.cpp -o main -Iinclude

进行编译

Answer 1

你不可能不分青红皂白地将Test（）的前5个字节复制到你的蹦床中，然后跳转到Test（）的第6个指令字节，因为你不知道前5个bytes包含整数x86可变长度指令。要做到这一点，你将不得不至少进行少量的Test（）函数的自动反汇编，以便找到超过函数开头5个或更多字节的指令边界，然后复制一个合适的数字你的蹦床的字节数，然后追加你的跳跃（它不会在蹦床内固定的偏移量）。请注意，在典型的RISC处理器（如PPC）上，您不会遇到此问题，因为所有指令的宽度都相同。

我的蹦床不会弹跳（绕道，C ++，GCC）

1 个答案: