不使用相关性直接在ASM中调用/跳转(x86)

我正在将一个 C++ DLL 注入到游戏中，并且想将一个函数挂接到我自己的一些代码上。由于DLL每次都会映射到不同的位置，因此直接跳转和调用会更容易。另外，因为这是一个钩子，所以当我返回该函数时，我不想更改堆栈或寄存器。

我声明一个 char* 来存储 Asm，这样我就有一个指向它的指针。(char* asm="\x00";) 如果您可以提供十六进制，那会节省我一些时间。

我尝试过使用 FF 和 EA 进行调用和跳转，但我想我只是不明白它们是如何工作的。当我使用它们时，我注意到手术中我现在有一个结肠。

JMP FAR FWORD PTR DS:[00000000]

这不起作用，并且在我尝试使用指向跳转位置的指针后仍然不起作用。

这是我开始尝试不同方法之前使用的程序集：

01270000    50              PUSH EAX
01270001    57              PUSH EDI
01270002    E8 E9CC1BFF     CALL fwound.0042CCF0
01270007    5F              POP EDI
01270008    58              POP EAX
01270009    50              PUSH EAX                      //replacements
0127000A    8D4C24 7C       LEA ECX,DWORD PTR SS:[ESP+7C] //
0127000E  - E9 36D11BFF     JMP fwound.0042D149

我使用 Olly 制作了该块，因此它知道当时所需的相关跳转/调用。

当 Asm 进入内存后，我必须在函数中编写两个操作（已被替换）才能跳转到该位置。

那么，如何修复我的 Asm 块以使用直接跳转和调用？

您可以像这样编码（gcc 风格/AT&T 汇编语法）：

    jmp    *.Ltgtaddr
.Ltgtaddr:  .long absoluteAddrOfFunctionToCall

这会汇编成 10 个字节（在 32 位 x86 上）-ff 25对于具有 32 位内存操作数的绝对 jmp，然后是带有下一个字的地址的四个字节，后面是代码的（绝对）目标地址的内容。

编辑：我已经用编译和测试的示例更新了下面的部分。

您可以从 C 源代码动态创建这样的蹦床。示例源（需要 32 位 x86，留给读者练习如何将蹦床转换为 64 位）：

#include <sys/mman.h>
#include <stdio.h>

void oneWay(char *str, int arg)
{ printf("string is \"%s\", int is %d\n", str, arg); }

void otherWay(char *str, int arg)
{ printf(str, arg); printf("\n"); }

void *trampGen(void *tgtAddr)
{
    char *trampoline = mmap(NULL, 10, PROT_EXEC | PROT_WRITE | PROT_READ,
        MAP_PRIVATE | MAP_ANON, -1, 0);
    trampoline[0] = (char)0xff; trampoline[1] = (char)0x25;
    *(char**)(trampoline+2) = trampoline + 6;
    *(void**)(trampoline+6) = tgtAddr;
    return trampoline;
}

int main(int argc, char **argv)
{
    void * (*funcptr)(char*, int) = trampGen(oneWay);
    *funcptr("Test %d String", 12345);
    *(void **)(((char *)funcptr) + 6) = otherWay;
    *funcptr("Test %d String", 12345);
    munmap(funcptr, 10);
    return 0;
}

对我来说输出：

$ ./tt
string is "Test %d String", int is 12345
Test 12345 String

请注意，留出整个 MMU 页以仅使用其中的 10 个字节的效率稍低。如果您需要多个蹦床，请实现您自己的内存管理器......