Как взломать виртуальную таблицу?
Я хотел бы знать, как изменить адрес Test, который находится в виртуальной таблице, с адресом HackedVTable.
void HackedVtable()
{
cout << "Hacked V-Table" << endl;
}
class Base
{
public:
virtual Test() { cout <<"base"; }
virtual Test1() { cout << "Test 1"; }
void *prt;
Base(){}
};
class Derived : public Base
{
public:
Test()
{
cout <<"derived";
}
};
int main()
{
Base b1;
b1.Test(); // how to change this so that `HackedVtable` should be called instead of `Test`?
return 0;
}
Ответ будет очень благодарен.
Спасибо заранее.
Ответы
Ответ 1
Это работает для 32-разрядных построений MSVC (это очень упрощенная версия некоторого производственного кода, который использовался уже более года). Обратите внимание, что ваш метод замещения должен явно указывать параметр this (указатель).
// you can get the VTable location either by dereferencing the
// first pointer in the object or by analyzing the compiled binary.
unsigned long VTableLocation = 0U;
// then you have to figure out which slot the function is in. this is easy
// since they're in the same order as they are declared in the class definition.
// just make sure to update the index if 1) the function declarations are
// re-ordered and/or 2) virtual methods are added/removed from any base type.
unsigned VTableOffset = 0U;
typedef void (__thiscall Base::*FunctionType)(const Base*);
FunctionType* vtable = reinterpret_cast<FunctionType*>(VTableLocation);
bool hooked = false;
HANDLE process = ::GetCurrentProcess();
DWORD protection = PAGE_READWRITE;
DWORD oldProtection;
if ( ::VirtualProtectEx( process, &vtable[VTableOffset], sizeof(int), protection, &oldProtection ) )
{
vtable[VTableOffset] = static_cast<FunctionType>(&ReplacementMethod);
if ( ::VirtualProtectEx( process, &vtable[VTableOffset], sizeof(int), oldProtection, &oldProtection ) )
hooked = true;
}
Ответ 2
V-Table - это деталь реализации.
Компилятор не должен использовать его (это просто самый простой способ реализовать виртуальные функции). Но говоря, что каждый компилятор может (и делает) реализовать его несколько иначе, в результате нет ответа на ваш вопрос.
Если вы спросите, как мне взломать vtable для программы, созданной с помощью
Компилятор <X> Версия <Y> Строка <Z>
Тогда кто-то может знать ответ.
Ответ 3
void HackedVtable()
{
cout << "Hacked V-Table" << endl;
}
class Base
{
public:
virtual Test() { cout <<"base"; }
virtual Test1() { cout << "Test 1"; }
void *prt;
Base(){}
};
class Derived:public Base
{
public:
Test()
{
cout <<"derived";
}
};
typedef void (*FUNPTR)();
typedef struct
{
FUNPTR funptr;
} VTable;
int main()
{
Base b1;
Base *b1ptr = &b;
VTable vtable;
vtable.funptr = HackedVtable;
VTable *vptr = &vtable;
memcpy ( &b1, &vptr, sizeof(long) );
b1ptr->Test();
//b1.Test(); // how to change this so that HackedVtable() should be called instead of Test()
return 0;
}
Ответ 4
Я не думаю, что есть переносной способ. В основном из-за оптимизации компилятора и различной архитектуры ABI между каждой целью.
Но С++ предоставляет вам такую же возможность, почему бы не использовать ее?
void HackedVtable()
{
cout << "Hacked V-Table" << endl;
}
class Base
{
public:
virtual Test() { cout <<"base"; }
virtual Test1() { cout << "Test 1"; }
void *prt;
Base(){}
};
class Derived : public Base
{
public:
Test()
{
HackedVtable(); // <-- NOTE
}
};
int main()
{
Derived b1; // <-- NOTE
b1.Test();
return 0;
}
Ответ 5
Другим способом добиться того же, что и на чекистом аналогичном коде:
GObject:
http://en.wikipedia.org/wiki/Gobject
GLib:
http://en.wikipedia.org/wiki/GLib
Валы:
http://en.wikipedia.org/wiki/Vala_%28programming_language%29
Эти ребята хотели работать с объектно-ориентированным языком программирования, но "С++" не соответствовали их реквизитам. Затем они взяли "plain C" и имитировали объекты с n записями и указателями, включая таблицы виртуальных методов. В конце концов появился аналогичный язык под названием "Вала", собственный язык "С++" (со своим собственным В.М.Т.).
Другие связанные ссылки:
http://en.wikipedia.org/wiki/Virtual_method_table
http://www.artima.com/insidejvm/ed2/jvmP.html
Приветствия.
Ответ 6
В Mac OS X 10.10.3 + gcc 4.8.3 следующий код работает хорошо.
void HackedVtable()
{
cout << "Hacked V-Table" << endl;
}
class Base
{
public:
virtual void Test() { cout << "base" << endl; }
virtual void Test1() { cout << "Test 1" << endl; }
void *prt;
Base(){}
};
class Derived : public Base
{
public:
void Test()
{
cout << "derived" << endl;
}
};
int main()
{
Base b1;
Base* pb1 = &b1;
*(*(void***)pb1) = (void*) HackedVtable;
pb1->Test();
//It works for all the Base instance
Base b2;
Base* pb2 = &b2;
pb2->Test();
//But Derived virtual function table is separated from Base's
Derived d1;
Derived* pd1 = &d1;
pd1->Test();
*(*(void***)pd1) = (void*) HackedVtable;
pd1->Test();
return 0;
}
Его вывод:
$ g++ h.cpp; ./a.out
Hacked V-Table
Hacked V-Table
derived
Hacked V-Table
Я тестирую тот же код в Ubuntu 12.04 + g++ 4.9.0. Однако он не работает и возникает ошибка сегментации.
Кажется, Linux назначает таблицу виртуальных функций в области только для чтения (например, rodata), чтобы запретить хакинг.
Ответ 7
хорошо его довольно легко понять. Найти hte VTAble pointer (В visual studio его первые 4/8 байта). Затем перейдите в обычный вызов Test (в ассемблер), и вы увидите, как он прыгнет на Vtable, а затем в вашу тестовую функцию. Чтобы переопределить тест, просто замените указатель, в который вы прыгнули, в VTable.
Ответ 8
Обычно это называется "виртуальным столом" или что-то в этом роде.
Если вы собираетесь использовать его много, я предлагаю SourceHook библиотеку. Он был разработан для взлома закрытых исходных игровых движков в игровых моделях. Например, он использовался в The Dark Mod до того, как idTech4 стал открытым исходным кодом.
Ответ 9
Я не думаю, что vTable находится в области только для чтения, потому что он динамически заполнен. Единственный способ, с помощью которого он может потерпеть неудачу, - это когда компилятор абсолютно уверен, какая реализация будет вызываться во время компиляции и пропустить vTable-поиск с прямым вызовом функции (де-виртуализация).
