C++ Считывание начала и конца функции в памяти. C++

youbiz123 · 21 Мар 2024

Привет. Появилась проблемка, и только югеймеры смогут с ней справится. Есть адрес моей функции, который я получаю через "&". Помогите мне найти конец функции пожалуйста, чтобы я все байты инструкций мог всунуть в массив byte[] в виде int чисел?

Условно: У меня есть адрес 7FF71FAB9A80. Это начало моей функции. Как мне дойти до конца этой функции и все полученные байты скопировать массив? Это если говорить коротко.

OXXXYMlRON · 21 Мар 2024

да никак нахуй

можешь бежать по схеме

int size = 0;
while (*p != INSTRUCTION_RET) {
++p;
++size;
}

и в тупую искать инструкцию ret

honorbuddy · 21 Мар 2024

берешь после этой функции ставишь еще одну, с произвольным уникальным кодом, и &вторая - &первая

youbiz123 · 21 Мар 2024

maksim dabstep написал(а):
да никак нахуй

можешь бежать по схеме

int size = 0;
while (*p != INSTRUCTION_RET) {
++p;
++size;
}

и в тупую искать инструкцию ret

В конце каждой функции 100% стоит ret? Просто я по памяти не очень сильно шарю и за плюсы тоже.

OXXXYMlRON · 21 Мар 2024

youbiz123 написал(а):
В конце каждой функции 100% стоит ret? Просто я по памяти не очень сильно шарю и за плюсы тоже.

нет, не стоит, но это самый простой способ.

позволь спросить - тебе это нахуя надо?

youbiz123 · 21 Мар 2024

maksim dabstep написал(а):
нет, не стоит, но это самый простой способ.

позволь спросить - тебе это нахуя надо?

Да просто по рофлу

qqwr · 21 Мар 2024

maksim dabstep написал(а):
позволь спросить - тебе это нахуя надо?

шеллкодик человек хочет сделать

eXtreames · 21 Мар 2024

Используй либо дизассемблер, проходясь по телу функции (нужно учитывать, что функции могут кончаться и на jmp и на ret), либо конструкцию подобного рода.

C++:

static void function_begin()
{
    // code
}
static void function_end() { };
auto function_size = reinterpret_cast<PBYTE>(&function_end) - reinterpret_cast<PBYTE>(&function_begin);

honorbuddy · 22 Мар 2024

eXtreames написал(а):
Используй либо дизассемблер, проходясь по телу функции (нужно учитывать, что функции могут кончаться и на jmp и на ret), либо конструкцию подобного рода.

C++:

static void function_begin() { // code } static void function_end() { }; auto function_size = reinterpret_cast<PBYTE>(&function_end) - reinterpret_cast<PBYTE>(&function_begin);

спасибо что передал мою идею кодом

eXtreames · 22 Мар 2024

honorbuddy написал(а):
спасибо что передал мою идею кодом

Не заметил твоего сообщения, но все-же пользователю будет проще, так что не за что.

honorbuddy · 22 Мар 2024

eXtreames написал(а):
Не заметил твоего сообщения, но все-же пользователю будет проще.

че правда? Ты буквально сделал то что я написал блять, там не обязательно было указывать ссылку на функцию, тут ты и обосрался, потому что делал бы сам - не поставил бы. Тем более если бы сам думал ты бы не оставил вторую функцию пустой, потому что это важно, короче пиздабол.

Morphling · 22 Мар 2024

honorbuddy написал(а):
берешь после этой функции ставишь еще одну, с произвольным уникальным кодом, и &вторая - &первая

А что если они скомпилируются в разных местах? Надо наверное ещё оптимизацию отключить

eXtreames · 22 Мар 2024

honorbuddy написал(а):
че правда? Ты буквально сделал то что я написал блять, там не обязательно было указывать ссылку на функцию, тут ты и обосрался, потому что делал бы сам - не поставил бы. Тем более если бы сам думал ты бы не оставил вторую функцию пустой, потому что это важно, короче пиздабол.

Уверен?) Про какую ссылку ты говоришь? Может ты про взятие указателя? Спешу тебя расстроить, в нормальных компиляторах (!=MSVC) взятие адреса на функцию происходит только через &. Вторую функцию можно спокойно оставлять пустой и это прекрасно работает на различных компиляторах.

Morphling написал(а):
А что если они скомпилируются в разных местах? Надо наверное ещё оптимизацию отключить

Они будут друг за другом в любом случае, оптимизации отключать не стоит.

honorbuddy · 22 Мар 2024

Morphling написал(а):
А что если они скомпилируются в разных местах? Надо наверное ещё оптимизацию отключить

я ни слова не сказал о том что определенные параметры не требуются)

Morphling · 22 Мар 2024

honorbuddy написал(а):
я ни слова не сказал о том что определенные параметры не требуются)

А какие Требуются?

honorbuddy · 22 Мар 2024

Morphling написал(а):
А какие Требуются?

ob2, o2 как минимум

Virtualizer · 22 Мар 2024

Пожалуйста, авторизуйтесь для просмотра ссылки.

C++:

const size_t get_instruction_size(uintptr_t addr)
{
    hde64_t instr = { 0 };
    size_t size = 0;

    for (;; addr += instr.len)
    {
        disasm64(reinterpret_cast<void*>(addr), &instr);

        size += instr.len;

        if (instr.flags & F_ERROR || size >= 5)
            break;
    }

    return size;
}

stockings · 22 Мар 2024

honorbuddy написал(а):
Тем более если бы сам думал ты бы не оставил вторую функцию пустой, потому что это важно

линкер не стрипнет функу если она где-то используется, а если даже и стрипнет (хотя такого быть не может т.к. компилер и линкер не должны ломать код) можно просто заюзать volatile

по теме: а вообще, мне кажется это XY вопрос, скажи для чего тебе надо сохранять функу в байты?

desccc · 22 Мар 2024

maksim dabstep написал(а):
да никак нахуй

можешь бежать по схеме

int size = 0;
while (*p != INSTRUCTION_RET) {
++p;
++size;
}

и в тупую искать инструкцию ret

решение не может быть верным, так как может быть несколько инструкций ret в одной функции, да и этот байт не обязательно будет в ret, например вы столкнетесь на части какой-то другой инструкции.

Virtualizer написал(а):
Пожалуйста, авторизуйтесь для просмотра ссылки.

C++:

const size_t get_instruction_size(uintptr_t addr) { hde64_t instr = { 0 }; size_t size = 0; for (;; addr += instr.len) { disasm64(reinterpret_cast<void*>(addr), &instr); size += instr.len; if (instr.flags & F_ERROR || size >= 5) break; } return size; }

вам надо еще учитывать условные переходы jnz/jmp/je и тд. также как и не обязательно что ret будет в самом конце из-за тех же переходов.

eXtreames написал(а):
Используй либо дизассемблер, проходясь по телу функции (нужно учитывать, что функции могут кончаться и на jmp и на ret), либо конструкцию подобного рода.

C++:

static void function_begin() { // code } static void function_end() { }; auto function_size = reinterpret_cast<PBYTE>(&function_end) - reinterpret_cast<PBYTE>(&function_begin);

компилятор может твой бегин воткнуть после твоей end функции так что вариант может пройти, но не на 100%.

eXtreames написал(а):
Они будут друг за другом в любом случае, оптимизации отключать не стоит.

то что они будут друг за другом не обязательно, так как у вас пустая функция, а одинаковые функции компилятор может объединить в одну.

вот вам одно из действительно верных ответов по данной теме:
вы можете читать дебаг заголовки в них вы можете найти начало и конец практически любой функции.

stockings · 22 Мар 2024

desccc написал(а):
вы можете читать дебаг заголовки в них вы можете найти начало и конец практически любой функции.

а вдруг ее стрипают?

C++ Считывание начала и конца функции в памяти. C++

Похожие темы