-
-
[求助]假如我HOOK了一个API,有什么准确的方法,判断返回地址是用户领域的(动态申请的也算)
-
发表于: 2011-6-17 20:41
-
|
|
|---|---|
|
|
ebp+4里面保存了返回地址,要看啥调用约定,有的也直接是ESP保存的,我乱说的
|
|
|
我要的不是返回地址,而是判断返回地址是哪个领域的
|
|
|
|
|
|
不懂驱动
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不懂想干啥
|
|
|
恩,但是这样过于繁琐,
|
|
|
|
|
|
|
|
|
谢谢楼上的,网上搜了一下,等待测试!
 在有些情况下需要得到函数调用者的模块名字。比如你想限制你的某个函数只能被自己某个特定的DLL调用。 或者比如在异常处理中你想了解是那个DLL/EXE抛出了异常。
API函数_ReturnAddress 和GetModuleHandleEx 函数可以帮助我们达到这个目的。以下代码演示它们的用法:
void ShowCallerModuleName()
{
HMODULE hCallerModule = NULL;
TCHAR szModuleName[MAX_PATH] = _T( "" );
void *callerAddress = _ReturnAddress();
if (GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS, ( LPCTSTR )callerAddress, &hCallerModule))
{
GetModuleFileName(hCallerModule, szModuleName, ARRAYSIZE(szModuleName));
MessageBox(NULL, szModuleName, _T("Who is calling me?" ), MB_OK);
}
}
解释:
_ReturnAddress 可以给你所在函数的返回地址,也就是调用者的地址。
GetModuleHandleEx 可以给你某个地址所在的模块Handle 。 得到这个Handle 之后,就可以用GetModuleFileName 来得到模块的文件名了。
///////////////////////////////////////////////////////////////////////////////
扩展:
用在dll劫持的时候,在判断呼叫本DLL的主程序模块中,获取返回地址,可以在naked函数中用汇编获取返回地址
以下是我测试的代码,程序运行正确!11(可以在函数里面判断返回地址,这样可以对抗DLL劫持)
void __declspec(naked) test()
{
__asm pop returnaddress
char aa21[1024];
sprintf(aa21,"%08X",returnaddress);
MessageBox(NULL,aa21,NULL,NULL);
__asm jmp returnaddress
}
|
|
|
|
|
|
|
|
|
我以想干啥坏事呢,原来是对抗DLL劫持啊
|
