如何破解虚拟表?(How to hack the virtual table?)

2019-08-17 14:58发布

站内文章 / 前沿技术
22 0 0

我想知道如何改变的地址Test是在与虚拟表HackedVTable

void HackedVtable()
{
    cout << "Hacked V-Table" << endl;
}

class Base
{    
public:
    virtual Test()  { cout <<"base";    }
    virtual Test1() { cout << "Test 1"; }
    void *prt;
    Base(){}
};

class Derived : public Base
{
public: 
    Test()
    {
        cout <<"derived";
    }
};

int main()
{    
    Base b1;

    b1.Test(); // how to change this so that `HackedVtable` should be called instead of `Test`?

    return 0;
}

答案将不胜感激。

提前致谢。

Answer 1:

这适用于32位MSVC建立(这是一些生产代码,一直在使用了一年多极简化版本)。 请注意,您的替换方法必须明确指定this参数(指针)。 

// you can get the VTable location either by dereferencing the
// first pointer in the object or by analyzing the compiled binary.
unsigned long VTableLocation = 0U;
// then you have to figure out which slot the function is in. this is easy
// since they're in the same order as they are declared in the class definition.
// just make sure to update the index if 1) the function declarations are
// re-ordered and/or 2) virtual methods are added/removed from any base type.
unsigned VTableOffset = 0U;
typedef void (__thiscall Base::*FunctionType)(const Base*);
FunctionType* vtable = reinterpret_cast<FunctionType*>(VTableLocation);

bool hooked = false;
HANDLE process = ::GetCurrentProcess();
DWORD protection = PAGE_READWRITE;
DWORD oldProtection;
if ( ::VirtualProtectEx( process, &vtable[VTableOffset], sizeof(int), protection, &oldProtection ) )
{
    vtable[VTableOffset] = static_cast<FunctionType>(&ReplacementMethod);

    if ( ::VirtualProtectEx( process, &vtable[VTableOffset], sizeof(int), oldProtection, &oldProtection ) )
        hooked = true;
}


Answer 2:

该V表是一个实现细节。

编译器不需要使用一个(这恰好是实现虚拟功能的最简单的方法)。 但说每个编译器可以(不)实现它略有不同,结果也没有回答你的问题。

如果你问我怎么破解一个虚函数表为内置的程序:

编译器<X>版<Y>构建<Z>

然后有人会知道答案。



Answer 3:

void HackedVtable()
{
    cout << "Hacked V-Table" << endl;
}

class Base
{

public:
       virtual Test()  { cout <<"base";    }
       virtual Test1() { cout << "Test 1"; }
       void *prt;
       Base(){}
};

class Derived:public Base
{
    public: 
           Test() 
           {
                   cout <<"derived";
           }
};

typedef void (*FUNPTR)();
typedef struct
{
   FUNPTR funptr;
} VTable;


int main()
{

    Base b1;
    Base *b1ptr = &b;

    VTable vtable;
    vtable.funptr = HackedVtable;

    VTable *vptr = &vtable;
    memcpy ( &b1, &vptr, sizeof(long) );

    b1ptr->Test();

    //b1.Test(); // how to change this so that HackedVtable() should be called instead of Test()

    return 0;
}


Answer 4:

我不认为这是一个可移植的方式。 这主要是因为各个目标之间的编译器优化和不同的体系结构ABI。

但是,C ++为您提供了完全相同的功能,为什么不利用呢? 

void HackedVtable()
{
    cout << "Hacked V-Table" << endl;
}

class Base
{
public:
       virtual Test()  { cout <<"base";    }
       virtual Test1() { cout << "Test 1"; }
       void *prt;
       Base(){}
};

class Derived : public Base
{
    public: 
           Test() 
           {
                HackedVtable(); // <-- NOTE
           }
};

int main()
{
    Derived b1; // <-- NOTE

    b1.Test();

    return 0;
}


Answer 5:

达到同样的事情的另一种方式是通过cheking类似的代码:

GObject的:

http://en.wikipedia.org/wiki/Gobject

GLib的:

http://en.wikipedia.org/wiki/GLib

瓦拉:

http://en.wikipedia.org/wiki/Vala_%28programming_language%29

那些家伙想用对象和类面向对象编程语言,但“C ++”的工作,不适合他们的必需品。 于是,他们把“纯C”,并模拟withn记录和指针,包括虚拟方法表的对象。 最终得到了一个名为“瓦拉”类似的语言,自己的“C ++”一样的语言(用自己的VMT)。

另一个相关链接:

http://en.wikipedia.org/wiki/Virtual_method_table

http://www.artima.com/insidejvm/ed2/jvmP.html

干杯。



Answer 6:

在Mac OS X 10.10.3 + GCC 4.8.3,下面的代码工作得很好。 

void HackedVtable()
{
    cout << "Hacked V-Table" << endl;
}

class Base
{    
public:
    virtual void Test()  { cout << "base" << endl;    }
    virtual void Test1() { cout << "Test 1" << endl; }
    void *prt;
    Base(){}
};

class Derived : public Base
{
public: 
    void Test()
    {
        cout << "derived" << endl;
    }
};

int main()
{    
    Base b1;
    Base* pb1 = &b1;

    *(*(void***)pb1) = (void*) HackedVtable;
    pb1->Test();

    //It works for all the Base instance
    Base b2;
    Base* pb2 = &b2;
    pb2->Test();

    //But Derived's virtual function table is separated from Base's
    Derived d1;
    Derived* pd1 = &d1;
    pd1->Test();
    *(*(void***)pd1) = (void*) HackedVtable;
    pd1->Test();

    return 0;
}

它的输出: 

$ g++ h.cpp; ./a.out
Hacked V-Table
Hacked V-Table
derived
Hacked V-Table

我的Ubuntu 12.04 + G ++ 4.9.0下测试相同的代码。 但是,它不工作,出现分段错误。 看来Linux分配在只读区域的虚函数表(例如RODATA)禁止黑客攻击。



Answer 7:

以及它很容易弄清楚。 查找HTE的vtable指针(在Visual Studio中的第一个4/8字节)。 然后步入测试的正常呼叫(进入汇编),你会看到它跳到V表,然后到你的测试功能。 要覆盖测试只需更换你来自哪里,在虚函数表跳指针。



Answer 8:

这通常被称为“虚拟表挂钩”或类似的东西。 如果你要多使用它,那么我建议SourceHook库。 它是为在游戏MODS黑客封闭源代码的游戏引擎开发的。 例如,它在使用黑暗国防部前idTech4成为开源。



Answer 9:

我不认为V表是只读区域,因为它是动态填充。 它可能会失败的唯一方法是当编译器是绝对肯定的,其实施将在编译的时候被调用,跳过V表查找直接函数调用(去虚拟化)。

编辑:由于@groovyspaceman指出的那样,我看到,我使用了错误的措辞。 V表类成员的指针是可变的,该V表本身是编译器生成,它取决于系统和编译器,如果它可以,或可以不被修改。



文章来源: How to hack the virtual table?
标签: c++ virtual
举报

收藏的人(0)

Ta的文章 更多文章
登录 后发表评论
0条评论
还没有人评论过~