汇编高级应用:手工写call栈帧检测

taizhong

call栈帧检测,就是检测目标函数的返回地址,防止目标函数被hook,可用于软件防破J

全程伪代码讲解
知识点1 函数的返回地址所在范围
----------
通常,call一个函数会形成一个栈帧,
例如:
void msg()//无参call
{
信息框("我是信息框")
}
void msg1(整数型 句柄,文本型 标题,文本型 内容,整数型 类型)//有参call
{
信息框(句柄,标题,内容,类型)
}

不管有参还是无参,都会形成栈帧,msg栈有4个字节集,msg2有5*4个字节集
返回地址所在范围可以确定:肯定在exe本身范围之内,大于进程的基址,小于进程的基址加上大小

以下将msg()作为目标函数
知识点2:嵌套调用的栈帧情况
----------
void msg()
{
信息框("我是信息框")
}

void function1()
{
function2()
}
void function2()
{
function3()
}

void function3()
{
function4()
}

void function4()
{
msg()
}

当调用function1()函数时,栈是什么样子呢?
此时,栈中有5个栈帧,按照调用顺序排列,msg()返回地址在function4()内,一次类推
这就形成了一个确定的栈帧结构
于是,我们可以在

void function4()
{
msg()
}

中,插入我们的检测函数,
int check()
{
//置入代码({,,,,,,})
}
void function4()
{
check()//检测函数
msg()
}


知识点3:易语言置入代码写check函数
获取检测函数的上层栈帧的返回地址
mov eax,[ebp]
mov eax,[eax]
mov eax,[eax+4]
leave
retn
嵌套调用的话,汇编中写个循环就可以了,写循环不难吧?
感觉好的话,给个好评

好学的小石头

沙发我要了