如何确定虚函数在虚函数表中的位置2 (Windows x64版本)

已于 2025-02-22 12:40:23 修改
阅读量259 收藏 6
点赞数 4
分类专栏: VC 普通程序杂想 文章标签: windows
于 2025-02-22 12:34:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/norsd/article/details/145792943
版权

之前写了一篇blog,描述 Windows 在x86 下,如何确定Virtual Function在Table中的位置。
没有写x64的情况,主要原因是x64不支持内联汇编。
我们知道MSVC编译器不会直接访问Table,而是会写一个thunk间接访问。
我们第一步要获得这个thunk的地址,用伪代码就是: &Class::vfn_name
c++认为这是一个成员函数指针,他是无法转化为void*的。(还是有办法的)
所以在上一篇blog中,我们用如下的泛型函数和内联汇编实现

template<typename src_type>
void* pointer_cast(src_type src)
{
    void* ret = NULL;
    __asm
    {
        mov eax, src
        mov ret, eax
    }
    return ret;
}

调用如下:

 void* p_thunk_fn = pointer_cast(&Class::vfn_name);

这样就通过”黑魔法“获得了这个thunk的地址。
当然,到了x64这个方法就行不通了。
后来我在咨询deepseek的时候,他偶尔提了一嘴,说可以用Union的方法
在这里插入图片描述
然后我想起来还有这个玩法,以前看到过。
这样直接通过Union就可以骗过编译器,获得thunk的地址
实现如下:

union FunctionPointer {
    void (Class::*vfn_name)(int arg);
    void* ptr;
};

FunctionPointer fp;
fp.vfn_name = &Class::vfn_name;
void* thunk = fn.ptr; //getchu~

当然,我们为了获取所有地址,需要每一个函数都写一个这样的FunctionPointer
这样要疯掉。
让deepseek给我写了一个泛型,这时候体现出ai作为工具能极大提高工作效率!

template <typename T>
union TFP;

// 特化模板,支持成员函数指针
template <typename ClassType, typename ReturnType, typename... Args>
union TFP<ReturnType(ClassType::*)(Args...)> {
    using MemberFuncPtr = ReturnType(ClassType::*)(Args...);  // 成员函数指针类型
    MemberFuncPtr memberFunc;  // 成员函数指针
    void* ptr;  // void* 指针
};

实现了泛型的FunctionPointer,TFP
接下去实现泛型的GetThunk

template <typename ClassType, typename ReturnType, typename... Args>
void* GetThunk(ReturnType(ClassType::* func)(Args...)) 
{
    TFP<decltype(func)> fp;
    fp.memberFunc = func;   
    return fp.ptr;
}

任意成员函数只需要

void* pthunk = GetThunk(&Class::vfn_name);

到这里我们获得了Thunk
接着开始反汇编x64的thunk
我们发现他的逻辑和x86是一模一样的,只是指令变为了x64的版本
下面直接贴出实现 x64 下, Windows MSVC环境如何从 thunk 获取 虚函数的 位置(Offset)

int GetMemberFnOffset(void* p_thunk_fn)
{
    int vftable_offset = -1;//虚函数表的偏移量

    auto jmp_o1_o2_o3_o4 = *(char*)p_thunk_fn;
    //第一步
    //p_thunk_fn 指向一个 近跳转, 就是当前地址 + offset
    //如下
    //jmp xti::XtTraderApi::vcall'{4}' (0926C75h)
    //E9 Offset1 Offset2 Offset3 Offset4
    //E9 A1 58 00 00
    if (jmp_o1_o2_o3_o4 != (char)0xE9)
    {
        throw std::exception("没有找到类似 jmp xti::XtTraderApi::vcall'{4}' (0926C75h) 的语句");
    }
    auto offset = *(int*)((char*)p_thunk_fn + 1);//跳转的偏移量
    auto new_address = (char*)p_thunk_fn + 5 + offset;//当前地址 + 5 个指令(jmp_o1_o2_o3_o4) + 偏移量

    //第二步
    //转到了
    //00007FF754442494 48 8B 01             mov         rax, qword ptr[rcx]
    //00007FF754442497 FF 60 08             jmp         qword ptr[rax + 8]
    /*
     48:这是 x86-64 架构中的 REX 前缀(REX prefix)。48 表示使用 64 位操作数大小(64-bit operand size)。
     8B:这是操作码(opcode),表示 MOV 指令。具体来说,8B 表示将一个值从内存移动到寄存器。
     01:这是 ModR/M 字节(ModR/M byte),用于指定操作数的寻址模式。01 的二进制形式是 00000001,具体含义如下:

     前两位 00 表示寄存器间接寻址(register indirect addressing)。
     中间三位 000 表示目标寄存器是 RAX(64 位寄存器)。
     最后三位 001 表示源操作数是 RCX 寄存器指向的内存地址。
    */
    auto mov_rax_qword_ptr_rcx = *(unsigned short*)new_address;
    if (mov_rax_qword_ptr_rcx != 0x8B48)
    {
        //抛出异常
        throw std::exception("没有找到语句mov rax, qword ptr[rcx]");
    }
    //到了最后读取 rax + x 中 x 的值
    //2个情况
    //FF 60 x1           偏移值较小
    //FF A0 x1 x2 x3 x4  偏移值较大
    auto byte_60_A0 = *((char*)new_address + 3 + 1);
    if (byte_60_A0 == 0x60)
    {
        //FF 60 X1
        vftable_offset = *((char*)new_address + 4 + 1);
    }
    else if (byte_60_A0 == (char)0xA0)
    {
        //FF A0 X1 X2 X3 X4
        vftable_offset = *(int*)((char*)new_address + 4 + 1);
    }
    else
    {
        //抛出异常
        throw std::exception("没有找到类似 jmp dword ptr [eax + x]的语句, 预期的数据不是60或者A0");
    }
    return vftable_offset;
}

最后的最后,为了操作简单,做一个Wraper

template <typename ClassType, typename ReturnType, typename... Args>
int GetMemberFnOffsetEx(ReturnType(ClassType::* func)(Args...))
{
	auto p_thunk_fn = GetThunk(func);
	return GetMemberFnOffset(p_thunk_fn);
}

这样我最终调用效果如下:

 dt[GetMemberFnOffsetEx(&XtTraderApi::destroy)] = "destroy";
 dt[GetMemberFnOffsetEx(&XtTraderApi::join)] = "join";
 dt[GetMemberFnOffsetEx(&XtTraderApi::init)] = "init";
 dt[GetMemberFnOffsetEx(&XtTraderApi::getVersion)] = "getVersion";
 dt[GetMemberFnOffsetEx(&XtTraderApi::getUserName)] = "getUserName";
 dt[GetMemberFnOffsetEx(&XtTraderApi::userLogin)] = "userLogin";

上面dt是一个map,存储着virtual function在table中的位置

【C++经典面试题】C++中为什么有时必须将析构函数声明为虚函数?为什么不默认为虚函数
dvlinker的技术专栏
07-26 220
【C++经典面试题】C++中为什么有时必须将析构函数声明为虚函数?为什么不默认为虚函数
C++:虚函数表存在哪
Taopper的博客
04-11 1710
C++通过虚函数实现多态。那么虚函数表具体保存在哪?是每一个对象都有虚函数表,还是每一类有虚函数表?让我们通过代码分析一下。代码运行在Windows平台,使用Visual Studio2010编译。 虚函数基础知识 C++中,一个类存在虚函数,那么编译器就会为这个类生成一个虚函数表,在虚函数表里存放的是这个类所有虚函数的地址。当生成类对象的时候,编译器会自动的将类对象的前四个字节设置为虚表的地址,而这四个字节就可以看作是一个指向虚函数表的指针。虚函数表可以看做一个函数指针数组。 class Base
C++调用虚函数是如何确定虚函数表中的哪一项?
Leowang的博客
03-28 278
只不过如果指针指向的是Base对象,那么内存布局就是Base对象的内存,那么虚函数表中的vptr[1]存放的是Base自己的func1的地址;而如果指针指向的是Child对象,内存布局就是Child对象的内存,那么虚函数表中的vptr[1]存放的就是Child的func1函数的地址。这个问题其实是不存在的, `(*p->vptr[1])(p)` 这样只是在运行时告诉CPU,要去虚函数表索引为1的地方读取函数地址,这个函数的地址却不是编译期能确定的,因为可以b指针可以指向父类也可以指向子类。
如何确定虚函数虚函数表中的位置3 (Linux x64版本)
最新发布
norsd的专栏
02-22 234
我们看到第一个函数setCallback 的 Offset 为 17, 下一个函数init的Offset为 25, 就是 17 + 8。首先,gcc没有用thunk, 直接调用虚函数,所以,我们在windows中读取thunk的函数。之前2篇Blog说明了如何在Windows确定虚函数虚函数表中的位置。但是有一点需要注意,获得的Offset不要直接使用,而是确定虚函数的次序。用在Linux环境下,直接就是一个 Offset , 非常方便!其实真正的第一个函数是类的析构函数,他的Offset为 9。
[C++ MFC VC] 虚函数表指针的位置
毛C毛Py的专栏
01-10 896
编译器会把一种叫虚指针(vptr)的隐藏数据插入到至少拥有一个虚函数的类中。 vptr 是一种指向虚函数地址列表的指针。在不同编译器中, vptr 所在位置是不同的。 一些编译器(例如:Visual C++ 和 C++ Builder)把 vptr 放置在类的开头部分,在所有用户声明的数据成员的前面。而另一些编译器,像GCC 和 DEC CXX,把 vptr 放在类的结尾部分,在所有用户声
如何确定虚函数虚函数表中的位置1 (Windows x86版本)
norsd的专栏
04-05 471
在底层汇编中, 我们知道, a_reqCreditDetail 这个函数指针指向的是一个thunk代码块( 这个代码块只有1条jmp语句)我需要用c#调用 c++ 的 类的函数, 虽然可以通过头文件的顺序,但是如果可以打印出虚函数在虚表中的Offset更好。需要指出的一点是 jmp dword ptr [eax + x] 对应的语句分别是。我们则需要得到这个 x 的值, 他就表示虚函数虚函数表中byte的offset。这里ecx指向的就是类, 也是类的虚函数表。我只能用如下的语句实现。
C++多态虚函数实现原理,对象和虚函数表的内存布局
回头太难
05-17 3122
基本概念 我们知道C++动态多态是用虚函数实现的,而虚函数的实现方式虽说C++标准没有要求,但是基本都是用虚函数表实现的(编译器决定)。所以我们有必要了解一下虚函数表的实现原理。 用virtual关键字声明的成员函数虚函数。 具有虚函数的类及其派生的类会在编译时创建虚函数表,简称虚表(vtbl),虚表是虚函数指针的数组。 具有虚函数的类对象有一个虚表指针(vfptr),是编译器生成的指针,在对象构造时初始化。虚表指针vfptr指向虚表的第一个虚函数指针(即vfptr的值是虚表第一个...
C++ 虚函数表 存在哪
fw72fw72的博客
03-30 1万+
C++通过虚函数实现多态。那么虚函数表具体保存在哪?是每一个对象都有虚函数表,还是每一类有虚函数表?让我们通过代码分析一下。
虚函数虚函数表
天空的博客
11-26 2671
虚函数虚函数表 各个类对象共享类的虚函数表,每个类对象有个虚函数指针vptr,虚函数指针vptr指向虚函数表(对于只有一个虚函数表的情况)。 虚函数 简单的说,每一个含有虚函数(无论是其本身的,还是继承而来的)的类都至少有一个与之对应的虚函数表,其中存放着该类的所有虚函数对应的函数指针。 C++中的虚函数的作用主要是实现了多态的机制。关于多态,简而言之就是用父类型的指针指向其子类的实例,然后通过父类的指针调用实际子类的成员函数。这种技术可以让父类的指针有“多种形态”,这是一种泛型技术。所谓泛型技术
C++虚函数虚函数表解析
icaiyuniyue的博客
08-04 177
C++虚函数虚函数表解析原文地址:http://blog.youkuaiyun.com/Primeprime/article/details/50903472 C++虚函数虚函数表解析 2016-03-16 11:15 239人阅读 评论(0) 收藏 举报 分类: C++(31) 作者同类文章X 目录(?)
虚函数表的打印
Hello_Sue的博客
09-15 1289
虚函数表的打印 在进行打印虚函数表之前,有几个需要了解和掌握的知识点: 一. typedef 的使用      在现实生活中,信息的概念可能是长度、数量和面积等。而在计算机语言中,数据被简化成了一些基本的数据类型,如int、float、 double等。从数据的基本类型上,我们不能看出其代表的物理属性。为了使基本的数据类型具有其可知的物理属性,C语言中引入了 类型重定义语句typedef
C++中虚函数相关问题(面经总结)
loytuls的博客
03-11 2741
虚函数相关问题
VAX Patch VA_X.DLL 安装位置的问题 for VS2008 , VS2010 , VS2011
热门推荐
norsd的专栏
04-06 2万+
在过去(VS2008), VA_X只要放在 x64 C:\Program Files (x86)\Visual Assist X\ x86 C:\Program Files\Visual Assist X\ 中替换就可以了。 但是VS2010和VS2011都在另一个位置,比如: VS2011 BETA C:\Users\Administrator\A
多网卡指定网卡发送数据
norsd的专栏
07-28 1万+
环境:2个网卡,分别在不同网络环境。局域网一: 网关:10.9.16.254                     电脑地址1:10.9.16.88局域网二:网关:10.9.24.1                     电脑地址2:10.9.24.88
判断某个数值存在与一个区间的办法
norsd的专栏
05-19 1万+
WCHAR wcValue;如何判断 wcValue 是 0-9 这十个数字中的一个?许多人会写: if(   wcValue>=0x30 && wcValue非常直观,但是不禁有点丑陋。实际上你可以改成:if(   wcValue-0x30但是其中会出现一个问题。 wcValue作为数值将被作为有符号数,wcValue如果小于0x30,计算结果将被认为是一个负数。为了解决
使用GetOpenFileName 选择文件夹
norsd的专栏
12-08 1万+
关键字: GetOpenFileName CFileDialog SDK Folder我一直不喜欢默认的文件夹选择. 相反地,我喜欢MFC中的CFileDialog这种对话框.如何使用SDK,实现CFileDialog对话框选择文件夹, 是我要解释和举例的.1. CFileDialog 的实现. CFileDialog 是MFC的类,实现了定制Open, Save, 这些Common Dialog
妈的,混蛋 wfopen_s 函数
norsd的专栏
06-04 8089
妈的,混蛋 wfopen_s 函数.  打开一个文件用 r 模式. 结果数据怎么和文件不一样的,总是差1, 比如 npData[10] 会指向 [11]去, 可是之前的数据都对,就是某一个数以后都错了, 后来仔细啊一看  0D0D0A   read以后把一个0D给吃掉了. 后来一看文档,麻辣隔壁: If t or b is not given in mode, the default
如何删除 Internet Gateway ( Internet 网关 )
norsd的专栏
06-30 7494
一次在无线上产生了,总算在国外网站找到了办法。 http://support.microsoft.com/default.aspx?scid=kb;en-us;821980&Product=winxp The Internet Gateway Device Discovery and Control Client permits Windows to detect and inte
C#中虚属性round的实现与派生类应用
在C#经典教程中,我们探讨了一个关于创建虚属性和重写属性及方法的基础示例。首先,让我们从【标题】"下面代码中实现一个虚属性round"开始。在这个例子中,我们有两个类:基类Square和派生类Cube。基类Square定义了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值