取子程序真实地址

aiksie

我百度搜索了下，论坛搜索了下，发现我看到的这些取子程序真实地址   源码，基本上都是有BUG的，不完全适用各种参数的子程序
一个非常简单的方法就能取到 子程序的真实地址，还用啥 汇编、API。。。。。
取子程序地址（&子程序）  这种子程序指针取到的并不是子程序真实的地址。
为啥要取子程序真实地址？  比如我需要 HOOK 某个地址， 如果我用的不是子程序真实地址，堆栈平衡就不好搞了。


原理：
每个子程序开头都是
push ebp
mov ebp,esp
只要判断 前3个字节，就能取到子程序的真实地址，用OD看一下就知道了。

  

子程序名	返回值类型	公开	备 注
取子程序指针	整数型
参数名	类 型	参考	可空	数组	备 注
子程序指针	子程序指针

变量名	类 型	静态	数组	备 注
子程序地址	整数型
子程序起始	整数型
偏移	整数型
现行子程序地址	整数型

子程序地址 ＝ 取子程序地址 (子程序指针)
子程序起始 ＝ 子程序地址
判断循环首 (真)
如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })
子程序起始 ＝ 子程序起始 ＋ 1
偏移 ＝ 指针到整数 (子程序起始)
子程序起始 ＝ 子程序起始 ＋ 4
现行子程序地址 ＝ 子程序起始 ＋ 偏移
如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })
跳出循环 ()
子程序起始 ＝ 子程序起始 － 4
到循环尾 ()


子程序起始 ＝ 子程序起始 ＋ 1

判断循环尾 ()
返回 (现行子程序地址)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 取子程序指针, 整数型<br /> .参数 子程序指针, 子程序指针<br /> .局部变量 子程序地址, 整数型<br /> .局部变量 子程序起始, 整数型<br /> .局部变量 偏移, 整数型<br /> .局部变量 现行子程序地址, 整数型<br /> <br /> 子程序地址 ＝ 取子程序地址 (子程序指针)<br /> 子程序起始 ＝ 子程序地址<br /> .判断循环首 (真)<br />     .如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />         偏移 ＝ 指针到整数 (子程序起始)<br />         子程序起始 ＝ 子程序起始 ＋ 4<br />         现行子程序地址 ＝ 子程序起始 ＋ 偏移<br />         .如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })<br />             跳出循环 ()<br />         .否则<br />             子程序起始 ＝ 子程序起始 － 4<br />             到循环尾 ()<br />         .如果结束<br /> <br /> <br />     .否则<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />     .如果结束<br /> <br /> .判断循环尾 ()<br /> 返回 (现行子程序地址)

另一种方法参考：http://bbs.eyuyan.com/read.php?tid=405188&displayMode=1#3226136
原理：没有文本型参数的，子程序真实地址一般是在第一个call，有一个文本型参数的，子程序真实地址是在第二个call，有两个文本型参数的，子程序真实地址是在第3个call，以此类推。
相比较我写的，这种汇编写的 代码就少了很多。。很多
为了方便大家，他的代码我也给贴一下

  

子程序名	返回值类型	公开	备 注
取子程序真实地址	整数型
参数名	类 型	参考	可空	数组	备 注
子程序	子程序指针
文本参数数量	整数型

置入代码 ({ 139, 77, 12, 131, 193, 1, 139, 69, 8, 64, 128, 56, 232, 117, 250, 226, 248, 3, 64, 1, 131, 192, 5, 201, 194, 12, 0 })
' mov ecx,[ebp+12]
' add ecx,1
' mov eax,[ebp+8]
' xx:
' inc eax
' cmp byte [eax],232
' jne xx
' loop xx
' add eax,[eax+1]
' add eax,5
' leave
' ret 12
返回 (0)

.版本 2<br /> <br /> .子程序 取子程序真实地址, 整数型<br /> .参数 子程序, 子程序指针<br /> .参数 文本参数数量, 整数型, 可空<br /> <br /> 置入代码 ({ 139, 77, 12, 131, 193, 1, 139, 69, 8, 64, 128, 56, 232, 117, 250, 226, 248, 3, 64, 1, 131, 192, 5, 201, 194, 12, 0 })<br /> ' mov ecx,[ebp+12]<br /> ' add ecx,1<br /> ' mov eax,[ebp+8]<br /> ' xx:<br /> ' inc eax<br /> ' cmp byte [eax],232<br /> ' jne xx<br /> ' loop xx<br /> ' add eax,[eax+1]<br /> ' add eax,5<br /> ' leave<br /> ' ret 12<br /> 返回 (0)

取子程序指针.e (5.26 KB, 下载次数: 59)

2017-12-9 20:14 上传

点击文件名下载附件
下载积分: 精币 -2 枚

补充内容 (2018-10-29 19:05):
心冷、鱼儿: 取子程序真实地址ASM版

  

子程序名	返回值类型	公开	备 注
_pGetSubAddress	整数型		取子程序真实地址
参数名	类 型	参考	可空	数组	备 注
ptr	子程序指针

' _asm{
' push ebx ;保存寄存器以免错误
' push ecx
' mov eax,dword [ebp+08h] ;获取到子程序地址
' do: ;循环标记
' inc eax ;指针+1
' cmp byte [eax],232 ;判断是不是call
' jne do ;不是就继续判断是不是call
' inc eax
' mov ecx,dword [eax] ;如果是call，获取到call的偏移地址
' add eax,04h
' lea ebx,dword [eax+ecx] ;call的地址
' cmp byte [ebx],85 ;判断是不是子程序开头
' jne do
' cmp byte [ebx+01h],139
' jne do
' cmp byte [ebx+02h],236
' jne do
' mov eax,ebx ;把指针复制给eax返回
' jmp exit ;跳出循环
' jmp do ;继续循环
' exit:
' pop ecx
' pop ebx
' leave
' ret 08h
' }end
返回 (-1)

.版本 2<br /> <br /> .子程序 _pGetSubAddress, 整数型, 公开, 取子程序真实地址<br /> .参数 ptr, 子程序指针<br /> <br /> ' _asm{<br /> ' push ebx ;保存寄存器以免错误<br /> ' push ecx<br /> ' mov eax,dword [ebp+08h] ;获取到子程序地址<br /> <br /> ' do: ;循环标记<br /> ' inc eax ;指针+1<br /> ' cmp byte [eax],232 ;判断是不是call<br /> ' jne do ;不是就继续判断是不是call<br /> ' inc eax<br /> ' mov ecx,dword [eax] ;如果是call，获取到call的偏移地址<br /> ' add eax,04h<br /> ' lea ebx,dword [eax+ecx] ;call的地址<br /> ' cmp byte [ebx],85 ;判断是不是子程序开头<br /> ' jne do<br /> ' cmp byte [ebx+01h],139<br /> ' jne do<br /> ' cmp byte [ebx+02h],236<br /> ' jne do<br /> ' mov eax,ebx ;把指针复制给eax返回<br /> ' jmp exit ;跳出循环<br /> ' jmp do ;继续循环<br /> <br /> ' exit:<br /> ' pop ecx<br /> ' pop ebx<br /> ' leave<br /> ' ret 08h<br /> ' }end<br /> 返回 (-1)

aiksie

子程序的地址 不一定是在第一个call 或 第二个call 所以才要判断这3个字节

内存辅助定制

来回打的反

凌哥

适用于任何call？

aiksie

凌哥 发表于 2017-12-9 20:25
适用于任何call？

基本上适用各种子程序， 你大可用OD一观

Dkite

#在这里快速回复#子程序起始 ＝ 子程序起始 － 4 到循环尾 ()

汉族

找  JMP 跳转地址？

呵呵仙

好像发多一贴了!!

呵呵仙

  

子程序名	返回值类型	公开	备 注
取子程序指针2	整数型
参数名	类 型	参考	可空	数组	备 注
子程序指针	子程序指针

变量名	类 型	静态	数组	备 注
子程序地址	整数型
子程序起始	整数型
偏移	整数型
现行子程序地址	整数型

子程序地址 ＝ 到整数 (子程序指针)
子程序起始 ＝ 子程序地址
判断循环首 (真)
如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })
子程序起始 ＝ 子程序起始 ＋ 1
写到内存 (指针到字节集 (子程序起始, 4), 取变量地址 (偏移), 4)
子程序起始 ＝ 子程序起始 ＋ 4
现行子程序地址 ＝ 子程序起始 ＋ 偏移
如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })
跳出循环 ()
子程序起始 ＝ 子程序起始 － 4
到循环尾 ()

子程序起始 ＝ 子程序起始 ＋ 1

判断循环尾 ()
返回 (现行子程序地址)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 取子程序指针2, 整数型<br /> .参数 子程序指针, 子程序指针<br /> .局部变量 子程序地址, 整数型<br /> .局部变量 子程序起始, 整数型<br /> .局部变量 偏移, 整数型<br /> .局部变量 现行子程序地址, 整数型<br /> <br /> 子程序地址 ＝ 到整数 (子程序指针)<br /> 子程序起始 ＝ 子程序地址<br /> .判断循环首 (真)<br />     .如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />         写到内存 (指针到字节集 (子程序起始, 4), 取变量地址 (偏移), 4)<br />         子程序起始 ＝ 子程序起始 ＋ 4<br />         现行子程序地址 ＝ 子程序起始 ＋ 偏移<br />         .如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })<br />             跳出循环 ()<br />         .否则<br />             子程序起始 ＝ 子程序起始 － 4<br />             到循环尾 ()<br />         .如果结束<br /> <br />     .否则<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />     .如果结束<br /> <br /> .判断循环尾 ()<br /> 返回 (现行子程序地址)

'谢谢开源,改了一下,让它也能支持E5.11

猥琐小胖子

支持库里面就有 取子程序实际地址()