基于visual c++之windows核心编程代码分析（44）监测任意程序函数起始地址

很多时候，我们分析一个程序的构架，必须了解其函数的相关信息，如何了解其函数信息呢，

我们必须监测函数的起始地址，结束地址，代码长度 等等信息。

如何做到这一点呢，我们编程实现之。

[cpp] view plaincopyprint?

1. #include <windows.h> 
2. #include <iostream.h> 
3.  
4. DWORD code() 
5. { 
6.     // 
7.     //  *******变量说明******* 
8.     //  **dwCodeBegin   :本函数的开始地址 
9.     //  **dwCodeEnd     :本函数的结束地址 
10.     //  **dwMyCodeAddr  :自己写的代码的开始地址 
11.     // 
12.     DWORD dwCodeBegin , dwCodeEnd , dwMyCodeAddr; 
13.  
14.     //  *******指针变量******* 
15.     PBYTE pMove = NULL; 
16.  
17.     //  *******动态获取自己写的代码的开始地址******* 
18.     _asm 
19.     { 
20.         call    A 
21. A: 
22.         pop     eax 
23.  
24.         mov     dwMyCodeAddr , eax 
25.     } 
26.  
27.     //  *******把地址赋给变量******* 
28.     pMove = (PBYTE)dwMyCodeAddr; 
29.  
30.     //  *******向前搜索得到函数的真正入口地址******* 
31.     while(!((*pMove == 0x55) && (*(pMove + 1) == 0x8B))) 
32.     { 
33.         pMove --; 
34.     } 
35.      
36.     //  *******此时pMove指向函数的入口push ebp处******* 
37.     dwCodeBegin = (DWORD)pMove; 
38.  
39.     cout << "开始地址为：" << hex << dwCodeBegin << endl; 
40.  
41.     //  *******从自己写的代码处向后搜索******* 
42.     pMove = (PBYTE)dwMyCodeAddr; 
43.  
44.     while (!((*(pMove + 1) == 0xc3) && (*pMove == 0x5D) && (*(pMove - 1) == 0xE5))) 
45.     { 
46.         pMove ++; 
47.     } 
48.  
49.     //  *******此时pMove指向ret的前一条指令pop ebp处******* 
50.     dwCodeEnd = (DWORD)pMove; 
51.  
52.     cout << "结束地址为：" << hex << dwCodeEnd << endl; 
53.  
54.     return 0; 
55. } 
56.  
57. void main() 
58. { 
59.     // 
60.     //  *******变量说明******* 
61.     //  **dwFunBegAddr  :函数的开始地址 
62.     //  **dwFunEndAddr  :函数的结束地址 
63.     //  **dwFunCodeLen  :代码长度 
64.     //  **dwJmpOff      :jmp到真正入口的偏移 
65.     // 
66.     DWORD dwFunBegAddr , dwJmpOff , dwFunEndAddr , dwFunCodeLen; 
67.  
68.     // 
69.     //  *******首先得到函数真正的入口地址******* 
70.     // 
71.  
72.     //  *******临时的指针变量******* 
73.     PBYTE pMove = NULL; 
74.      
75.     //  *******首先指向函数的jmp指令******* 
76.     pMove = (PBYTE)code; 
77.      
78.     //  *******定位到jmp后面的偏移处******* 
79.     pMove ++; 
80.  
81.     //  *******把偏移赋值给变量******* 
82.     dwJmpOff = *(PDWORD)pMove; 
83.  
84.     //  *******jmp下一条指令的地址(code + 5)＋偏移得到函数真正的入口地址******* 
85.     dwFunBegAddr = (DWORD)code + 5 + dwJmpOff; 
86.  
87.     cout << "开始地址为：" << hex << dwFunBegAddr << endl; 
88.  
89.     // 
90.     //  *******搜索函数代码，找到函数结尾处******* 
91.     // 
92.  
93.     //  *******首先把函数的入口地址赋给变量******* 
94.     pMove = (PBYTE)dwFunBegAddr; 
95.  
96.     //  *******向后搜索，直到结尾******* 
97.     while (!((*(pMove + 1) == 0xc3) && (*pMove == 0x5D) && (*(pMove - 1) == 0xE5))) 
98.     { 
99.         pMove ++; 
100.     } 
101.  
102.     //  *******此时pMove指向ret前一条指令******* 
103.     dwFunEndAddr = (DWORD)pMove; 
104.  
105.     cout << "代码结束地址为：" << hex << dwFunEndAddr << endl; 
106.  
107.     //  *******结束地址减去起始地址，得到代码长度******* 
108.     dwFunCodeLen = dwFunEndAddr - dwFunBegAddr; 
109.  
110.     cout << "总代码长度为：" << (int)dwFunCodeLen << endl; 
111.  
112.     //  *******调用函数******* 
113.     code(); 
114.  
115.     return; 
116. } 

 

原文地址：http://blog.youkuaiyun.com/yincheng01/article/details/7214399