- 注册时间
- 2011-3-6
- 最后登录
- 1970-1-1
该用户从未签到
|
call栈帧检测,检测目标函数的返回地址,防止目标函数被hook,可用于软件防破解
全程伪代码讲解
知识点1 函数的返回地址所在范围
----------
通常,call一个函数会形成一个栈帧,
例如:
void msg()//无参call
{
信息框("我是信息框")
}
void msg1(整数型 句柄,文本型 标题,文本型 内容,整数型 类型)//有参call
{
信息框(句柄,标题,内容,类型)
}
不管有参还是无参,都会形成栈帧,msg栈有4个字节集,msg2有5*4个字节集
返回地址所在范围可以确定:肯定在exe本身范围之内,大于进程的基址,小于进程的基址加上大小
以下将msg()作为目标函数
知识点2:嵌套调用的栈帧情况
----------
void msg()
{
信息框("我是信息框")
}
void function1()
{
function2()
}
void function2()
{
function3()
}
void function3()
{
function4()
}
void function4()
{
msg()
}
当调用function1()函数时,栈是什么样子呢?
此时,栈中有5个栈帧,按照调用顺序排列,msg()返回地址在function4()内,一次类推
这就形成了一个确定的栈帧结构
于是,我们可以在
void function4()
{
msg()
}
中,插入我们的检测函数,
int check()
{
//置入代码({,,,,,,})
}
void function4()
{
check()//检测函数
msg()
}
知识点3:获取函数的上层栈帧和返回地址
获取检测函数的上层栈帧的返回地址
mov eax,[ebp]
mov eax,[eax]
mov eax,[eax+4]
leave
retn
嵌套调用的话,汇编中写个循环就可以了,写循环不难吧?
|
|