如何修改栈结构统计每个DLL的函数使用信息
在文章如何Hook Windows API中,我们讨论了如何Hook Windows API。此种方式的结果是每个DLL都会跳转到相同的函数,所以不便实现针对每个DLL的函数使用信息。如果希望得到基于每个DLL的信息,可以通过修改栈的结构的方式实现。
假设现在要Hook的函数是: void __stdcall Func(int, int);
其调用时的栈结构如图1所示:
图1: Thunk对栈结构的调整
现在我们把Hook的函数替换成如下的thunk代码:
#pragma pack(push,1)
struct _stdcallThunk
{
BYTE m_push[3];// push dword ptr [esp]
DWORD m_mov; // move dword ptr [esp+0x4],pThis
DWORD m_this; // pThis, which serves as the operand for mov instruction
BYTE m_jmp; // jmp proc
DWORD m_relproc; // proc, which serves as the operand for jmp instruction
VOID Init(INT_PTR proc, INT_PTR pThis, INT_PTR pThunk)
{
m_push[0] = 0xFF;
m_push[1] = 0x34;
m_push[2] = 0x24;
m_mov = 0x042444C7;
m_this = (DWORD)pThis;
m_jmp = 0xE9;
m_relproc = (DWORD)(proc - (pThunk + sizeof(_stdcallThunk)));
FlushInstructionCache(GetCurrentProcess(), this, sizeof(_stdcallThunk));
}
};
那么当函数调用转到Hook之后,其栈结构会被调整,如图1所示。调整之后的栈结构正好是一个对C++对象的成员函数调用之后的栈结构。所以只要我们定义一个C++类,使其中的一个非静态成员函数拥有和被Hook函数相同的声明,我们就可以利用上面的Thunk把函数的调用分发给为每个DLL创建的该C++类的对象,从而记录每个DLL中对该函数的使用信息。
使用thunk的步骤如下:
- 定义一个C++类,使其一个非静态成员函数拥有和被Hook函数相同的声明;
- 创建该类的一个对象;
- 创建一个_stdcallThunk对象,调用其Init()函数,参数设置如下表所示.
- 把Hook函数的地址设成thunk对象的首地址。
| 参数名 | 取值 |
| proc | 步骤1中定义的非静态成员函数的函数指针 |
| pThis | 步骤2中创建对象的指针 |
| pThunk | 步骤3中创建的对象的指针 |
这里有如下几个问题需要注意:
1. 如何取得非静态C++函数的地址
C++标准不允许用提取静态成员函数的方式提取非静态函数的地址,可以使用如下的方式:
a) 定义如下共用体:
union {
INT_PTR dwFunc;
RETURN_TYPE (CLASS::*pfn)(ARGS);
} pfn;
b)把非静态函数指针赋值给pfn.pfn,然后通过pfn.dwFunc取出值。
2. 防止DEP设置导致程序crash
由于thunk是堆上的对象,所以如果OS打开DEP,那么程序可能会crash。解决方法是使用VirtualAlloc()创建一个具有read/write/execute属性的内存地址,把thunk分到该地址空间中。
3. 对齐地址防止cache不同步
需要对thunk的起始地址进行对齐,以防止代码被加载到指令缓存的时候出现不同步,从而导致程序crash。