lpkwxl 2015-05-05
本博文出自51CTO博客gmxydm博主,有任何问题请进入博主页面互动讨论! 博文地址:http://5412097.blog.51cto.com/5402097/1641374 |
在反外挂系统中,经常会检测函数的返回地址,确认函数的返回地址在规定的范围之内,从而保证,游戏程序中的函数,不被外挂所调用。这种检查方式就涉及到一个基本的技术问题,如何获得函数的返回地址?
例如下面的第一段代码:
#include<stdio.h> int main() { getchar(); return 0; }
非常简单的一段程序,那么我们如何获得该函数的起始地址和返回地址呢?起始地址获取非常容易,如下:
#include<stdio.h> int main() { printf("%0x\n",main); getchar(); return 0; }
那么如何获得函数的返回地址呢?这个就相对来说比较困难。我们先看第一段代码反汇编后的结果:
#include<stdio.h> intmain() { 009919E0 push ebp 009919E1 mov ebp,esp 009919E3 sub esp,0C0h 009919E9 push ebx 009919EA push esi 009919EB push edi 009919EC lea edi,[ebp-0C0h] 009919F2 mov ecx,30h 009919F7 mov eax,0CCCCCCCCh 009919FC rep stos dword ptr es:[edi] getchar(); 009919FE mov esi,esp 00991A00 call dword ptr [__imp__getchar (9982B0h)] 00991A06 cmp esi,esp 00991A08 call @ILT+295(__RTC_CheckEsp) (99112Ch) return 0; 00991A0D xor eax,eax } 00991A0F pop edi 00991A10 pop esi 00991A11 pop ebx 00991A12 add esp,0C0h 00991A18 cmp ebp,esp 00991A1A call @ILT+295(__RTC_CheckEsp) (99112Ch) 00991A1F mov esp,ebp 00991A21 pop ebp 00991A22 ret
代码开始部分,先保存ebp的内容,然后将ESP的内容写入EBP:
009919E0 push ebp 009919E1 mov ebp,esp
汇编指令call会做两件事情,其一,将call指令后面的一条指令的地址压入栈中,无条件跳转到call指令的调用地指处,开始执行子程序。
和call指令对应的ret指令,则开始执行call指令后面的一条指令。
那么,ret指令如何知道call指令后面一条指令的地址呢?因为call指令已经将这条指令压入到了栈中,所以ret指令可以找到call指令后的一条指令的地址。
既然ret指令可以找到call的返回地址,也就是call的下一条指令的地址,那么我们也可以找到!!!
main函数在执行前以及执行过程中,栈的分布如下:
通过以上几张图,我们可以清楚的看到,main函数的返回地址在[EBP+4]处。所以,获得main函数的返回地址的代码如下:
#include<stdio.h> int main() { int re_addr; __asm { mov eax,dword ptr [ebp+4] mov re_addr,eax } printf("%0X\n",re_addr); getchar(); return 0; }
其中__tmainCRTStartup()函数调用了main函数,调用的汇编代码如下:
mainret = main(argc, argv, envp);
00B81926 mov eax,dword ptr [envp (0B87140h)]
00B8192B push eax
00B8192C mov ecx,dword ptr [argv (0B87144h)]
00B81932 push ecx
00B81933 mov edx,dword ptr [argc (0B8713Ch)]
00B81939 push edx
00B8193A call @ILT+300(_main)(0B81131h)
00B8193F add esp,0Ch
00B81942 mov dword ptr [mainret (0B87154h)],eax
可以看出,call main指令后的一条指令的地址为:00B8193F,而我们获得的main的返回地址如下:
B8193F
说明我们获得的结果正确。
对于其他函数的情况类似,下面笔者就把获得某个函数的返回值得功能,做成一个函数,提供给大家,如下: