我想在应用程序中为我的解码器预留空间。 我使用 VirtualAlloc 函数来保留这个空间。 我有 X 个问题。
我应该使用哪些参数(分配类型和保护)来为 code-cave 分配内存?
作为返回值,我得到了我的 codecave 的地址。在程序的其他部分,我想 JMP 到那个 codecave。怎么做?我知道(如果我错了请纠正我)JMP 将作为偏离当前位置的参数数字。但我想 JMP 到 ma codecave。如何计算这个偏移量。
最佳答案
刚刚偶然发现。为我们其他人阐明这个主题:计算代码洞穴补丁的相对 JMP 偏移量是通过用当前程序计数器地址减去补丁地址来实现的:
uint32_t patch_address = (uint32_t) VirtualAlloc(...);
uint32_t jmp_offset = patch_address - (current_offset + current_len);
注意:current_len 是您的 JMP 指令占用的字节数。这取决于它是短跳转 (EB) 还是长跳转 (E9)。在您的示例中为 2 个字节,但常规 JMP (E8 0x12345678) 需要 5 个字节。
所以在这里我们看到您的示例无法轻松运行,因为您必须覆盖属于后续 MOV 甚至 CALL 指令的下一个字节。这依赖于这样一个事实,即您的编解码器与当前指令偏移量的距离更大,因为它分配在地址空间的不同区域。
所以你可以做的是将覆盖的 7 个字节复制到你的洞穴中。这只有在您不在补丁中弄乱 EDI 寄存器时才有效(因为“MOV ECX,EDI”)。并且您必须更正您正在覆盖的 CALL 地址。所以这可能不是放置编解码器的最佳位置,但它是可行的。
我编写了自己的 Hook 库来处理通用寄存器参数、堆栈清理和覆盖的 asm 填充,但我建议使用上述框架。
问候, 迈克尔
关于c++ - VirtualAlloc C++,注入(inject)的dll,asm,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5242720/