反汇编之C++的虚函数

C++虚函数表解析
最新推荐文章于 2025-05-26 10:33:13 发布
转载 最新推荐文章于 2025-05-26 10:33:13 发布 · 264 阅读 · 1

先来查看一简单例子



 
  1. #include<iostream>
  2. using namespace std;
  3. class Base{
  4. public:
  5. virtual void f() { cout << "base f()被call"<<endl; }
  6. virtual void g() { cout << "父类虚函数G被call" << endl; }
  7. };
  8. class Derive : public Base{
  9. public:
  10. virtual void f() { cout << "子类虚函数f()被call" << endl; }
  11. };
  12. int main()
  13. {
  14. Derive d; //子类对象
  15. Base *pb;//父类指针
  16. pb = &d;//父类指针指向子类对象
  17. int *q =(int*) pb;//取出类对象地址
  18. void(*f)(Derive*) = (void(*)(Derive*))(*(int*)(*q));//取出f()函数地址
  19. void(*g)(Derive*) = (void(*)(Derive*))(*(int*)(*q+4));//取出g()函数地址
  20. f((Derive*)pb);//调用子对象虚函数表的第一个元素
  21. g((Derive*)pb);//调用子对象虚函数表的第二个元素
  22. system("pause");
  23. return 0;
  24. }

用VS2015调试一番.查看pb保存子对象的地址.

 

 以上pb保存了子类对象地址,地址为0x003bfb64.来看看.这个子类对象的首4个字节(32位机子)地址保存了啥内容(其实是虚函数表的地址)

 .

 

子类对象首4个字节保存了00948b34这个数值.(这个其实是虚函数表的地址).再来看看这个数值保存了啥内容.

 

 发现这个地址开始 0094142e跟00941424应该就是虚函数的地址了.不信.咋们到反汇编查看该地址内容.

 

先查看0x0094142e(函数转为反汇编.其实第一个地址就是跳转).发现没.反汇编已经提示了是Derive::f这个函数

再看看0x00941424.是Base::g这个函数

以上可知.一般编译器实现.把虚函数表的地址用放在子对象首4个字节.虚函数表保存的是虚函数的地址.

  1. void(*f)(Derive*) = (void(*)(Derive*))(*(int*)(*q));//取出f()函数地址
  2. void(*g)(Derive*) = (void(*)(Derive*))(*(int*)(*q+4));//取出g()函数地

 

比如以上2行.q是子对象的地址.(*q)就是虚函数表的地址 (*q)+4 相当于虚函数的第二个元素的地址. *(int*)(*q)表示第一个虚函数的地址.*(int*)(*q+4));表示第二个虚函数表的地址..最后强制转换为类成员函数.用(void(*)(Derive*).因为一般类成员函数在编译后.首形参是一个this指针.这里用Derive*.因为this指针的类型就是类的类型

  1. f((Derive*)pb);//调用子对象虚函数表的第一个元素
  2. g((Derive*)pb);//调用子对象虚函数表的第二个元素

 

 最后调用这2个虚函数表中的虚函数.把pb(子对象的地址)当做参数this指针.然后直接调用.即可使得函数被调用了

转自https://www.cnblogs.com/zengyiwen

C++反汇编 剖析虚函数表的实现原理(下)
ylh的博客
09-26 915
反汇编技术,逐步跟踪分析虚函数表的存在原因,实现原理,虚函数表是什么?只要包含虚函数的类就会有一个虚函数表,当这个类是基类时,它的派生类也会有相应的虚函数表。当一个类有多个对象的时候,这些对象共享一个虚函数表。
反汇编研究C++虚函数表,调用类内函数,调用虚函数
a2234503831b的博客
01-09 437
反汇编研究C++虚函数表,调用类内函数,调用虚函数 环境:gcc version 7.4.0 (Ubuntu 7.4.0-1ubuntu1~18.04.1) 测试代码1: #include <iostream> #include <stdio.h> using namespace std; class A { public: virtual void func1() ...
反汇编->C++虚函数深度分析
weixin_30644369的博客
07-17 166
先来查看一简单例子#include<iostream>using namespace std;class Base{public: virtual void f() { cout << "base f()被call"<<endl; } virtual void g() { cout << "父类虚函数G被call" << endl; }}...
C++虚函数调用的反汇编解析
热门推荐
阮建辉的专栏
08-23 1万+
C++虚函数调用的反汇编解析     作者:阮建辉 虚函数的调用如何能实现其“虚”?作为C++多态的表现手段,估计很多人对其实现机制感兴趣。大约一般的教科书就说到这个C++强大机制的时候,就是教大家怎么用,何时用,而不会去探究一下这个虚函数的真正实现细节。(当然,因为不同的编译器厂家,可能对虚函数有自己的实现,呵呵,这就算是虚函数对于编译器的“多态”了:)。 作为编译型语言,C
C++中的虚函数调用原理的反汇编实例分析(2)
webcenterol
06-14 285
C++中的虚函数调用原理的反汇编实例分析(2) write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 因为昨天的第一节中我其实感觉并没有太透彻的理解其原理,也对VC6的实现是否会继续抱有怀疑态度,所以今天特意用VS2005编译并分析了一下,只能说,从反汇编的角度来看都可以看出微软的进步实在是很大的,有钱嘛:)呵呵,也许Stanley B.Lip...
C++虚函数调用过程深度理解
qq_37186884的博客
08-01 715
笔者在前一篇文章中分享了一些关于cpp菱形继承的理解。但是对于cpp虚函数的理解还有些许的模糊,知道一些内容,但没有完全详尽。接下来笔者将根据的部分示例代码验证一些关于以及的一些深度理解。
深入C++虚表(虚函数 虚表 反汇编)
05-28
### 深入C++虚表(虚函数 虚表 反汇编) #### 一、引言 多态性是C++语言的核心特性之一,它允许子类重写父类的行为,使得不同类型的对象能够响应相同的接口,进而提高了程序的可扩展性和灵活性。在C++中,实现多态性...
C++虚函数
阿达King哥的博客
05-26 479
本文介绍了使用Visual Studio和GDB调试工具分析C++类内存布局的方法。通过在VS中配置/d1 reportAllClassLayout命令,可以输出类的内存结构。文章重点分析了三种情况:无虚函数类、带虚函数类以及继承类。通过反汇编和内存监视,展示了虚函数表(__vfptr)的结构,说明虚函数调用机制。对于继承类,详细演示了基类函数被覆盖时的内存布局变化。调试结果表明,虚函数表指针位于对象首地址,其中保存了虚函数的调用地址。
C++中的虚函数调用原理的反汇编实例分析(1)
webcenterol
06-14 259
C++中的虚函数调用原理的反汇编实例分析(1) write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 具体的原理我并不想多讲,最好的办法是看《inside C++ Object》一书,我只是通过实际的反汇编代码来检验一下。。。。 其实仅仅是最近老在看反汇编的东西,这应该也属于逆向分析初步的知识吧,起码看到汇编代码能知道你看到的到底是什么 测...
DES算法的汇编语言程序
06-02
DES算法的汇编语言程序,包括算法描述及功能实现!
反汇编 之 virtual-03 两个虚函数
xiaozhi
03-12 315
#include <iostream> #include <stdio.h> class Base { public: int x; int y; virtual void function_1() { printf("function_1...\n"); } virtual void function_2() { ...
逆向反汇编--- 虚函数特征识别与虚表的建立
生命不息 折腾不止
03-08 1111
一、虚函数重要性 虚函数是面向对象的重要组成部分,是多态的基础,如果定义了虚函数但是没有定义构造函数,编译器必须提供默认的构造函数(因为必须要初始化虚表指针); 二、虚函数特性与识别 虚表指针一定是在对象的首地址的前4个字节(固定的,且4字节,这一点很重要),虚表指针指向的虚函数表的首地址,虚函数作为成员函数使用; 对于开发者来说,虚表和虚表指针都是隐藏的; 如果类没有虚函数,构造的时候不...
从汇编角度理解C++虚函数调用机制
lyq240919525的专栏
10-15 765
#include class Base { public: virtual void print(){ printf("Base::print()\n");} void print2(){} public: int m_id; }; class Imp : public Base { private: void print(){ printf("Imp::print()\n");}
C++之旅 虚函数
yujie21ic的专栏
04-07 746
1、为什么了解决什么     多态指同一个实体同时具有多种形式。它是面向对象程序设计(OOP)的一个重要特征。如果一个语言只支持类而不支持多态,只能说明它是基于对象的,而不是面向对象的。C++中的多态性具体体现在运行和编译两个方面。运行时多态是动态多态,其具体引用的对象在运行时才能确定。编译时多态是静态多态,在编译时就可以确定对象使用的形式。(静态绑定和动态绑定) 多态:同一操作作用于
安卓c++虚函数解密
andy7002的博客
07-03 589
0x00 搭建环境 使用arm-none-linux-gnueabi-gcc 编译程序 下载链接: arm-2010.09-50-arm-none-linux-gnueabi 编译程序 1)  sudo gedit ~/.bashrc 2)  在文件末尾添加如下的一行 export PATH=$PATH:/....../....../arm-2010.09-50/bin
C++反汇编第三讲,反汇编中识别虚表指针,以及指向的虚函数地址
weixin_30379911的博客
12-08 184
      C++反汇编第三讲,反汇编中识别虚表指针,以及指向的虚函数地址 讲解之前,了解下什么是虚函数,什么是虚表指针,了解下语法,(也算复习了) 开发知识为了不码字了,找了一篇介绍比较好的,这里我扣过来了,当然也可以看原博客链接:  http://blog.youkuaiyun.com/hackbuteer1/article/details/7558868 一丶虚函数讲解(复习开发,熟悉内存模...
C++反汇编与逆向分析技术揭秘》读书总结——虚函数
北侠的博客
10-05 748
C++中,使用关键字virtual声明函数为虚函数。当类中定义有虚函数时,编译器会将该类中所有虚函数的首地址保存在一张地址表中,这张表被称为虚函数地址表,简称虚表。同时,编译器还会在类中添加一个隐藏数据成员,称为虚表指针。该指针中保存着虚函数的首地址。 虚表是一个函数指针的数组。 例1: class CVirtual { public: virtual int...
DES加密算法难点总结
qq_41096331的博客
07-27 3959
之前在实验中学到了DES算法,但是实验手册中对DES的原理讲述的不是很清楚,于是我又查了一下资料,详细步骤可见该博客DES算法原理。这篇文章主要对其中一些可能还不太清楚的点进行记录。 1.IP变换,PC-1变换的意义。 这些置换方法的主要目的应该就是为了打乱数据,并且这些置换用的表应该是一种公开的数据。 2.为什么秘钥有64个比特却只有56个比特有用。 我理解的是在每一步操作下对秘钥都会舍弃八个比特来加强安全性。在原始秘钥进行PC-1置换的过程中会舍弃每第八个比特,然后在进行PC-2置换的时候又会舍弃每第八
如何通过汇编分析C++虚函数表的存储结构?
最新发布
10-16
<think>我们被要求通过汇编分析C++虚函数表的存储结构,并且要参考前面提供的引用内容。根据引用,虚函数表(vtable)的实现原理可以通过汇编代码来观察。 关键点: 1. 每个包含虚函数的类(或从包含虚函数的类派生)都有一个虚函数表。 2. 每个对象在创建时,会在对象的起始位置(即对象内存布局的开头)存储一个指向虚函数表的指针(通常称为vptr)。 3. 虚函数表本身是一个函数指针数组,其中每个元素指向该类的一个虚函数的实际实现。 4. 当通过基类指针或引用调用虚函数时,会通过对象的vptr找到虚函数表,然后根据函数在表中的偏移量来调用正确的函数。 通过汇编分析步骤: 1. 创建对象:观察对象的内存布局,特别是对象开头是否有一个指针被设置。 2. 调用虚函数:观察调用过程中如何通过对象地址找到虚函数表,如何通过偏移量找到函数地址,并进行调用。 根据引用中的内容: - 引用[2]提到:指向虚函数表的指针被存放在虚类的最开头。 - 引用[5]提到:初始化b的vptr,将虚表地址存入对象首地址。 - 引用[4]提到:对象的前四个字节(在32位系统)存储虚表地址,虚表内容就是虚函数的地址。 下面我们通过一个例子,结合汇编代码逐步分析。 示例C++代码: ```cpp class Animal { public: virtual void speak() { /* ... */ } }; class Dog : public Animal { public: void speak() override { /* ... */ } }; int main() { Animal* animal = new Dog(); animal->speak(); delete animal; return 0; } ``` 我们关注`animal->speak();`这一行对应的汇编。假设我们使用x86-64架构,编译器为GCC。 反汇编可能如下(关键部分): ```asm ; 创建Dog对象,假设使用new mov edi, 8 ; 分配8字节(假设指针大小8字节,Animal只有一个虚函数指针) call operator new(unsigned long) mov rbx, rax ; 保存返回的地址到rbx mov rdi, rbx ; 将地址作为this指针传递给构造函数 call Dog::Dog() ; 调用Dog的构造函数 ; 将animal指针指向新创建的对象 mov QWORD PTR [rbp-8], rbx ; 将对象地址存入animal变量 ; 调用animal->speak(); mov rax, QWORD PTR [rbp-8] ; 将animal指针(对象地址)加载到rax mov rax, QWORD PTR [rax] ; 取对象的前8个字节(即虚函数表指针)到rax mov rdi, QWORD PTR [rbp-8] ; 将this指针(即对象地址)作为第一个参数(隐含参数)传递 call QWORD PTR [rax] ; 调用虚函数表中的第一个函数(即speak) ; 后续省略... ``` 解释: 1. 在创建Dog对象时,首先分配内存,然后调用Dog的构造函数。在构造函数内部,会初始化虚函数表指针,使其指向Dog类的虚函数表。 2. 当调用`animal->speak()`时: - 首先从`animal`变量(即对象指针)所指向的内存中取出前8个字节(这就是虚函数表指针)。 - 然后准备调用:将对象指针作为this指针传递给函数(在x86-64上,通常第一个参数是rdi)。 - 接着从虚函数表中取出第一个函数指针(因为speak是第一个虚函数,所以它在虚函数表的第一项)并调用。 虚函数表的存储结构: - 虚函数表是一个静态数组,在编译时由编译器生成,存放在程序的只读数据段(如.rodata)。 - 每个类(而不是每个对象)都有自己的虚函数表。同一个类的所有对象共享同一个虚函数表。 - 虚函数表中的每一项是一个函数指针,指向该类的虚函数的实现。 - 派生类的虚函数表会继承基类的虚函数表,如果派生类覆盖了某个虚函数,则在相应位置替换为派生类的函数地址;如果派生类新增了虚函数,则追加在虚函数表末尾。 通过汇编如何验证虚函数表的存储结构? 1. 查看对象内存:在调试器中,打印对象地址处的内存,应该可以看到一个指针(在64位系统下是8字节)。这个指针指向虚函数表。 2. 查看虚函数表内存:然后打印该指针(虚函数表地址)处的内存,应该是一系列函数指针。每个函数指针对应一个虚函数的入口地址。 例如,假设对象地址为0x123400,那么: - 地址0x123400处存储的值(8字节)就是虚函数表地址,假设为0x567800。 - 然后,地址0x567800处开始的8字节就是第一个虚函数的地址。 - 地址0x567808处的8字节就是第二个虚函数的地址(如果有的话)。 引用[4]中描述:在dog对象的内存中,前四个字节(32位)或八个字节(64位)就是虚表地址,虚表的内容就是虚函数的地址。 总结方法: 1. 通过反汇编观察对象的创建过程,特别是构造函数中对虚函数表指针的初始化。 2. 通过反汇编观察虚函数调用时的寻址过程:先取对象地址,再取虚表指针,再计算偏移量,最后调用。 3. 使用调试器查看对象的内存布局,验证虚函数表指针的位置和虚函数表的内容。 注意:不同编译器、不同平台(x86/ARM)、不同调用约定可能会有差异,但基本原理相同。 相关问题: 1. 如何通过调试器查看C++对象的虚函数表? 2. 虚函数表在多重继承下的结构是怎样的? 3. 虚析构函数在虚函数表中是如何存储的? 4. 虚函数表在程序内存的哪个段? </think>### 通过汇编分析C++虚函数表存储结构的方法 #### 一、核心分析原理 虚函数表(vtable)在汇编层的本质是**连续的函数指针数组**,其存储结构遵循以下原则: 1. **虚表指针位置**:每个对象实例的首地址存储指向虚函数表的指针(vptr)[[2]](#引用2)[[5]](#引用5) 2. **虚表内存布局**:虚函数表本身是编译器生成的静态数据结构,包含按声明顺序排列的虚函数地址[[3]](#引用3)[[4]](#引用4) 3. **动态绑定机制**:虚函数调用通过`vptr → offset → call`三级寻址实现运行时绑定[[1]](#引用1) #### 二、具体分析步骤(x86-64架构示例) ##### 步骤1:定位虚表指针 ```asm ; 对象创建时的虚表指针初始化 lea rax, [vtable_Dog] ; 加载虚表地址到rax [^5] mov QWORD PTR [rbp-0x18], rax ; 存入对象首地址(vptr位置)[^5] ``` - 验证方法:通过调试器查看对象内存首8字节(64位系统)的值即为vptr地址 ##### 步骤2:解析虚表内容 ```asm ; 虚函数调用过程 mov rax, QWORD PTR [obj] ; 获取对象首地址 → vptr [^4] mov rax, QWORD PTR [rax] ; 获取虚表首地址 mov rdx, QWORD PTR [rax+8] ; 获取第二项虚函数地址(偏移8字节) call rdx ; 调用虚函数 ``` - 虚表存储结构示意: ``` 虚表地址+0x0: &Animal::vfunc1 虚表地址+0x8: &Dog::vfunc2 ; 派生类覆盖的函数 虚表地址+0x10: &Dog::vfunc3 ; 派生类新增虚函数 ``` ##### 步骤3:验证多重继承场景 ```asm ; 多重继承的虚表跳转 mov rax, QWORD PTR [obj+16] ; 访问第二个基类的vptr call QWORD PTR [rax+24] ; 调用偏移24字节的虚函数 ``` - 特征:每个基类对应独立的虚表指针,派生类对象包含多个vptr[[4]](#引用4) #### 三、关键验证技术 1. **内存查看器验证**: - 使用GDB的`x/xg obj_addr`查看对象首地址值 → vptr - 用`x/8g vptr_addr`查看虚表内容(每8字节一个函数指针) 2. **编译器布局检查**: ```bash g++ -fdump-class-hierarchy source.cpp # 输出类内存布局 objdump -d -j .rodata a.out # 查看只读段的虚表数据 ``` 3. **运行时调试技巧**: ```gdb (gdb) p *obj # 查看对象 (gdb) p /a *(void**)obj # 获取vptr (gdb) p /a ((void***)obj)[0][0] # 首个虚函数地址 (gdb) disas /m main # 反汇编关联源码 ``` #### 四、存储结构核心特征 1. **层级关系**: ```mermaid graph TD A[对象实例] --> B[vptr] B --> C[虚函数表] C --> D[&Base::func1] C --> E[&Derived::func2] C --> F[...] ``` 2. **跨平台差异**: | 架构 | vptr偏移 | 虚表项大小 | 调用约定 | |------------|----------|------------|---------------| | x86-64 | +0 | 8字节 | rdi传this指针[[2]](#引用2) | | ARM64 | +0 | 8字节 | x0传this指针 | | x86 | +0 | 4字节 | ecx传this指针 | 3. **动态特性证据**: - 同一虚函数在不同派生类中对应不同地址 - RTTI(类型信息)通常存储在虚表前的负偏移位置[[4]](#引用4) #### 五、典型误区的汇编验证 1. **虚表非"表"**: 汇编显示虚表是连续内存块,而非抽象数据结构 ```asm section .rodata vtable_Dog: dq 0 ; 类型信息偏移 dq _ZN3Dog5barkEv ; 函数1地址 dq _ZN3Dog5jumpEv ; 函数2地址 ``` 2. **非单继承优化**: 多重继承时,汇编显示派生类包含多个独立虚表指针: ```asm mov rax, [obj] ; 第一个基类vptr mov rbx, [obj+32] ; 第二个基类vptr ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值