运行时对代码操纵的一个小demo（二）

前一篇演示了在堆上分配空间，生成出可执行代码，并执行之。一般来说可执行代码都是在代码段里的，在堆上和在数据段里都的不是“正常编译”得到的代码。这次就来演示一下把代码放到数据段的例子吧～

代码如下。跟前一篇一样，把对应的机器码和汇编都写在注释里，方便理解。

#include <stdio.h>

typedef int (*puts_ptr)(const char*);
typedef void (*myfunc_ptr)(puts_ptr);

/*
void foo(puts_ptr p) {
    p("greetings from generated code!");
}
*/
/* code as string in data section:
offset | bytes (in hex) | mnemonics
00     | 55             | push EBP
01     | 8BEC           | mov  EBP, ESP
03     | E8 00000000    | call next instruction
08     | 58             | pop  EAX
09     | 83C0 0D        | add  EAX, 0D
12     | 50             | push EAX
13     | FF55 08        | call dword ptr [EBP + 8]
16     | 83C4 04        | add  ESP, 04
19     | 5D             | pop  EBP
20     | C3             | ret
*/

int main() {
    myfunc_ptr pMyfunc;
    puts_ptr pPuts = &puts;
    const char* code = "\x55\x8B\xEC\xE8\x00\x00\x00\x00"
                       "\x58\x83\xC0\x0D\x50\xFF\x55\x08"
                       "\x83\xC4\x04\x5D\xC3"
                       "greetings from generated code!";
    
    pMyfunc = (myfunc_ptr)code;
    pMyfunc(pPuts);
    
    return 0;
}

可以看到，这个例子的关键就是源码里的字符串字面量——那堆奇怪的\xNN和后面接着的问候语。不要忘记C/C++里相邻的字符串字面量会被编译器合并为一个字符串常量。Windows上的PE文件区分代码段（一般在.text section里）与数据段（一般在.data section和.rdata section；后者是只读数据段）里，而这个字符串字面量就会被安置在数据段中。

这个例子里放在数据段的代码的结构与前一篇放在堆上的代码基本一样，也是把代码与其需要的数据混在一起，前面是代码，字符串数据紧跟在代码后。
不同的是：前一篇生成的代码中第3条指令是一个push imm32，压入栈的是直接量；这个直接量是在生成代码时通过相对偏移量计算出来的。这个例子则使用了一个小trick来获取基地址，直接在代码中计算push的值，使用压入栈指令是push EAX。这个trick是以下的指令序列：

offset | bytes (in hex) | mnemonics
03     | E8 00000000    | call next instruction
08     | 58             | pop  EAX
09     | 83C0 0D        | add  EAX, 0D

首先是一条call imm32指令，参数是0x00000000。这条指令的语义是：把下一条指令的地址作为返回地址压入栈，并且跳转到下一条指令的地址+0x00000000的位置。注意这条指令的32位直接量是2的补码，是带符号的。执行这条指令之后，我们就让CPU把call指令的下一条指令的地址压到了栈上，这样就可以知道“基地址”是多少了。
接下来是pop EAX，把刚才压到栈上的“返回地址”弹出来，赋值给EAX。
然后是add EAX, imm8。数一下指令的长度，可以知道要显示的字符串距离pop EAX指令的偏移量是13，也就是0x0D；所以把前面得到的“基地址”加上这个偏移量，就得到了要显示的字符串的起始地址。
后面的指令序列基本上就跟前一篇的一样了，不用多解释。

这种获取地址的trick在可重定位的代码（relocatable code）中很常见。例如编译器生成一个DLL的时候，它不知道实际运行的时候装载器会把DLL image装载到什么地址，所以里面跟地址相关的代码都得编译为基地址+偏移量的形式。基地址的获取经常就是用类似的trick来完成的。

前一篇提到了Windows Vista和Windows 7上的DEP，它对数据段的可执行性也有限制：数据段内存被认为是不可执行的。所以这个例子在上述两种操作系统（和对应的Server版）里直接编译运行会出错。这些系统认为可执行代码就应该保存到代码段，所以上例中放在字符串中的代码也应该移到代码段中。

在堆上和数据段里放代码有什么意思呢？就像有些时候C的switch...case语句会被编译为基于表的跳转，而这个跳转表就夹杂在指令序列中一样，代码和数据其实没有明显的界限——冯·诺依曼体系结构的机器上，存储器既可以用于保存代码，也可以用于保存数据；代码就是数据，数据可以看作代码来执行。这篇和前一篇的demo只是演示了这一点而已。引申开来，有时候我们会希望根据运行时的某些特定条件来动态生成些效率较高的、特化的代码，而不是使用通用但效率较低的代码，这个时候就需要用到动态代码生成技术。生成的代码放在内存里，如果不能执行那就不好玩了。这两个demo演示了动态生成代码是可执行的。

下次再写咯……喝茶去～

评论

5 楼 RednaxelaFX 2009-08-13  

kid23 写道

好久没来你这逛了，怎么你最近也在研究这方面啊～
一直想用这些技术写个小玩意，类似加壳工具啥的，linux下用，可惜只会照着教程脱壳，自己写难了点

PS:回个贴真不容易，记得N久前就注册了号，想回帖，看到问答楞是放弃了。。。。
这次终于给我全蒙对了＝－

kid大！好久不见 T T
其实我最近没在研究加密和加壳之类的东西，只是正好跟朋友聊的时候提到怎么生成可运行的代码然后直接运行而已。
脱壳我一直也不太行……能很容易找到OEP的还可以试试dump，不然我也弄不出来

呵呵，又一人折在JavaEye的NC小测试……|||

4 楼 kid23 2009-08-13  

好久没来你这逛了，怎么你最近也在研究这方面啊～
一直想用这些技术写个小玩意，类似加壳工具啥的，linux下用，可惜只会照着教程脱壳，自己写难了点

PS:回个贴真不容易，记得N久前就注册了号，想回帖，看到问答楞是放弃了。。。。
这次终于给我全蒙对了＝－

3 楼 ravenex 2009-07-24  

要我过来测试一下回帖的提示……

2 楼 RednaxelaFX 2009-07-19  

lwwin 写道

怎么乍看之下就是直接手工编写机器码＝ ＝|||

嗯，说得完全没错，这例子就是手工写机器码。没有什么有技术含量的地方。
不过这么做可以干扰对程序的解读（虽然只能干扰新人和比较弱的工具……），也演示了冯·诺依曼体系结构的特征之一：存储器中的数据既可以看作代码也可以看作纯数据看待。
当然我写这个只是为了娱乐而已…… =v=|||

1 楼 lwwin 2009-07-19  

怎么乍看之下就是直接手工编写机器码＝ ＝|||