我们来聊聊C++多态吧，理解它，并找到它。

我们通过一段代码，先来了解多态的底层实现

class cVirtual {
public:
  virtual void func0() {};
  virtual void func1() {};
};

int main()
{
  cVirtual cv;
  cv.func0();
}

非常简单的类，如果这里没有多态函数的话这个类对象实际只占1个字节（占位字节），有了多态函数后类对象里会保存一张多态函数的地址表，那么这个对象就会占4个字节。

来看反汇编。

CALL指令调用的就是编译器为这个类生成的构造函数，这么简单的类也要有构造函数？？，猜的没错，就是用来初始化多态表的，走进去看。

......  
0057179F  pop         ecx  ;恢复this指针
005717A0  mov         dword ptr [ebp-8],ecx ;保存this指针
005717A3  mov         eax,dword ptr [ebp-8]  ;取出this指针
005717A6  mov         dword ptr [eax],577BF8h  ;多态表初始化
005717AC  mov         eax,dword ptr [ebp-8]  ;返回this指针
......

我把多余的代码删掉了，构造函数只做了这一件事情，就是把多态表的指针赋值到对象地址中，也就是文中的this指针。

由上面的代码可以看出，这个类的对象的内存应该如下图：

我们看下 0x577BF8 中保存的内容：

整理一下是这样的，0x005713C0，0x005713BB，0x0000000。

那么这两个有效地址就是我们代码中的两个多态函数，我们来验证下。

so，我们可以总结出，对象的虚表指针在以对象为基址的前4个字节中，虚表指针指向的是一个地址表，地址表中的每一个地址对应这个类中的每一个虚函数。

在上例中，析构函数中做了和构造函数一模一样的事情，因为在构造函数中已经对虚表赋值了，在析构函数中是不是有点多此一举？并不是，析构函数中重新赋值是防止读取的虚表不是自己的虚表，读者可以从继承的角度出发，来思考这个问题。

搞不懂去看我写的继承的文章吧，可能还没更。

重点来了：

虚表信息是在编译后会被链接到二进制文件中，so 虚表是一个固定地址。

虚表中的虚函数地址排序顺序依据虚函数在类中的声明顺序而定。

当虚函数被访问时，会根据对象的首地址，取出虚表地址，在取出虚表元素，需要多次寻址才能完成。

通过间接寻址访问虚表，只发生在使用对象的指针或者引用调用虚函数的时候才会发生，当使用对象调用虚函数，不需要查表访问。（调用自身的函数，未构成多态，查虚表只会降低效率）

------------------------------->找到它

在茫茫汇编代码中找到多态需要关注以下几点：

类中隐式定义了一个数据成员

该数据成员在首地址处，并占4个字节

构造函数会将此数据成员初始化为某个数组的首地址

这个地址属于数据区，是固定地址

在这个数组内，每个元素都是函数指针

这些函数它们被调用时，第一个参数一定是this指针，注意调用约定

在这些函数内部，很有可能会对this指针使用相对间接的访问方式

虚表初始化特征码（在构造或析构函数中出现）：

;下面这段代码出现的函数，需要具有成员函数特征，传递对象首地址作为this指针

lea ecx,[ebp - 8];获取对象首地址
call xxxxxxxxh ;函数调用

mov reg,this ;某寄存器得到对象首地址

mov dword ptr[eax], xxxxxxxxh
; 向对象首地址写入4字节数据，查看并确认这4字节是否为函数地址表的首地址如果上述代码出现，应该高度怀疑此函数是一个构造或析构函数。

Good job.

晒下我家猫，虽然很影响我的工作效率，我还是选择原谅它，怎么样可爱吗。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。