防破解call栈帧检测技术分享
call栈帧检测,检测目标函数的返回地址,防止目标函数被hook,可用于软件防破解全程伪代码讲解
知识点1 函数的返回地址所在范围
----------
通常,call一个函数会形成一个栈帧,
例如:
void msg()//无参call
{
信息框("我是信息框")
}
void msg1(整数型 句柄,文本型 标题,文本型 内容,整数型 类型)//有参call
{
信息框(句柄,标题,内容,类型)
}
不管有参还是无参,都会形成栈帧,msg栈有4个字节集,msg2有5*4个字节集
返回地址所在范围可以确定:肯定在exe本身范围之内,大于进程的基址,小于进程的基址加上大小
以下将msg()作为目标函数
知识点2:嵌套调用的栈帧情况
----------
void msg()
{
信息框("我是信息框")
}
void function1()
{
function2()
}
void function2()
{
function3()
}
void function3()
{
function4()
}
void function4()
{
msg()
}
当调用function1()函数时,栈是什么样子呢?
此时,栈中有5个栈帧,按照调用顺序排列,msg()返回地址在function4()内,一次类推
这就形成了一个确定的栈帧结构
于是,我们可以在
void function4()
{
msg()
}
中,插入我们的检测函数,
int check()
{
//置入代码({,,,,,,})
}
void function4()
{
check()//检测函数
msg()
}
知识点3:获取函数的上层栈帧和返回地址
获取检测函数的上层栈帧的返回地址
mov eax,
mov eax,
mov eax,
leave
retn
嵌套调用的话,汇编中写个循环就可以了,写循环不难吧?
支持楼主,支持看流星社区,以后我会经常来! 优秀,666666666666666666 他不要和他好好谈谈个人 qwefcku1 发表于 2019-10-21 15:31
优秀,666666666666666666
天天哥哥哥哥哥哥
页:
[1]