Узнать адрес указателя

@DaVillka · Регистрация: 31.10.2015

Студворк — интернет-сервис помощи студентам

Есть функция в чужой программе, которая в качестве параметров принимает указатель на структуру. Вопрос, как узнать адрес этой структуры, если нельзя поставить сплайс на начало функции, так как там уже стоит чужой сплайс?

Убежденный · 07.01.2017, 20:26

С каких это пор один сплайс является помехой для другого?

@jupman · 07.01.2017, 20:41

Сообщение от Убежденный

С каких это пор один сплайс является помехой для другого?

Смотря какой сплайс, может там jmp/jcc или rip-адресация. Пересчитывать придется.

Добавлено через 10 минут

Сообщение от DaVillka

Вопрос, как узнать адрес этой структуры, если нельзя поставить сплайс на начало функции

Ну, сплайсинг не единственный метод. Есть ещё: хот патч, точки останова, патч таблицы импорта.

@DaVillka · 07.01.2017, 20:43 **[ТС]**

Убежденный, ну вообще да, но в данном случае нельзя поставить, ибо та прога что ставит сплайс проверяет его наличие, если поставить поверх, то выкинет из проги, можно поставить за ним свой, но тогда в качестве указателя будет не то что нужно

Убежденный · 07.01.2017, 20:59

Сообщение от jupman

Смотря какой сплайс, может там jmp/jcc или rip-адресация. Пересчитывать придется.

Также не вижу проблемы. Все нормальные библиотеки для перехватов умеют
обрабатывать такие ситуации. Да и без сторонних либ можно просто сделать
хак под конкретную реализацию чужого сплайса.

Сообщение от DaVillka

в данном случае нельзя поставить, ибо та прога что ставит сплайс проверяет его наличие, если поставить поверх, то выкинет из проги

Тогда надо сначала поставить сплайс на проверку сплайса, а потом засплайсить сам сплайс

@Renji · 07.01.2017, 20:59

Сообщение от DaVillka

Убежденный, ну вообще да, но в данном случае нельзя поставить, ибо та прога что ставит сплайс проверяет его наличие, если поставить поверх, то выкинет из проги, можно поставить за ним свой, но тогда в качестве указателя будет не то что нужно

А вы попробуйте хукнуть код хука. Ну, то есть, чужая прога внедряет jmp на свой перехватчик. А вы по адресу этого jmp пройдите и прям туда впихните свой jmp.

@DaVillka · 07.01.2017, 21:04 **[ТС]**

Renji, да там стоит еще один од хук) и тоже проверяется, и дальше тоже проверяется )

Добавлено через 1 минуту
Убежденный, но я не знаю как проверяется наличие сплайса, а если поставить свой сплайс после ихнего, то нельзя как то узнать адрес ?

@jupman · 07.01.2017, 21:06

Сообщение от Renji

А вы попробуйте хукнуть код хука. Ну, то есть, чужая прога внедряет jmp на свой перехватчик. А вы по адресу этого jmp пройдите и прям туда впихните свой jmp.

А потом сторонний код будет снимать хук и вырвет нам почву из под ног.

Убежденный · 07.01.2017, 21:10

А нельзя ли поставить свой сплайс раньше чужого?

@DaVillka · 07.01.2017, 21:14 **[ТС]**

Убежденный, можно, но его же вроде как все равно перепишет чужой сплайс ? Оо

@jupman · 07.01.2017, 21:28

Сообщение от Renji

А вы попробуйте хукнуть код хука. Ну, то есть, чужая прога внедряет jmp на свой перехватчик. А вы по адресу этого jmp пройдите и прям туда впихните свой jmp.

Сообщение от jupman

А потом сторонний код будет снимать хук и вырвет нам почву из под ног.

Renji, Я сглупил, так можно сделать. Вы все верно говорите.

@Undisputed · 07.01.2017, 21:54

Извините что залез в чужую тему, а что такое сплайс? Гугл ничего толком не выдал
Это из оперы ассемблера?

@jupman · 07.01.2017, 21:57

Сообщение от Убежденный

Также не вижу проблемы. Все нормальные библиотеки для перехватов умеют
обрабатывать такие ситуации. Да и без сторонних либ можно просто сделать
хак под конкретную реализацию чужого сплайса.

Да, знаю что либы умеют. Просто помню ТС создавал тему про пересчет джампа, поэтому думаю у него свой велосипед.

Убежденный · 07.01.2017, 21:59

Сообщение от DaVillka

я не знаю как проверяется наличие сплайса, а если поставить свой сплайс после ихнего, то нельзя как то узнать адрес ?

А откуда ты знаешь, что чужой сплайс проверяется?
Может быть, твой сплайс реализован некорректно и из-за этого все валится?..

Сообщение от jupman

Просто помню ТС создавал тему про пересчет джампа, поэтому думаю у него свой велосипед.

Ага, вот и я стал что-то в таком духе подозревать.
Свой сплайсинг, свой дизасм, что-то вдруг падает, только непонятно где...

@jupman · 07.01.2017, 22:00

sys_beginner, перехват посредством модификации тела функции (патч кода)

Убежденный · 07.01.2017, 22:01

Сообщение от sys_beginner

а что такое сплайс?

Сплайсингом называют перехват функций через правку (патчинг) их тела.
Обычно первые несколько байт заменяются jmp с переходом на свой обработчик.
А обработчик, выполнив свою работу, прыгает на "трамплин" (или, как его
еще называют иногда, bridge), который выполняет "украденные" инструкции из
первых байт, чтобы восстановить контекст, так сказать, а затем переходит на
остаток оригинальной функции. В деталях техника может различаться, но
общий принцип примерно такой.

@Undisputed · 07.01.2017, 22:09

Убежденный,
Т.е когда выполняется функция, где то хранится адрес возврата в определенный контекст для продолжения выполнения программы. На уровне ассемблера можно подменить этот адрес, выполнить какой то код, а потом снова вернуться к продолжению программы?

Интересно где это может пригодится. Почему просто нельзя вызвать функцию а после нее другую функцию которая сделает то что делается при перехвате и до восстановления контекста

@DaVillka · 07.01.2017, 22:14 **[ТС]**

Убежденный, jupman, да, у меня свой велосипед, со сплайсами все в порядке, это у них такой защитный механизм, если по адресу стоит не их сплайс а что то другое, то рушит процесс, и да, вопрос можно закрыть, я подменил функцию в таблице импорта(хоть и там то же есть камни, но они никак не относятся к тому, что я в результате смог получить)

Добавлено через 3 минуты
sys_beginner, ну дак в функции, в основном, передаются какие то параметры, без которых весь процесс может рухнуть, на пример виртуальные функции ты так просто не вызовешь, тебе нужно хукнуть функцию какую то, и сохранить this

Убежденный · 07.01.2017, 22:16

Сообщение от sys_beginner

Т.е когда выполняется функция, где то хранится адрес возврата в определенный контекст для продолжения выполнения программы. На уровне ассемблера можно подменить этот адрес, выполнить какой то код, а потом снова вернуться к продолжению программы?

Это ты описываешь технику под названием ROP (Return-Oriented Programming)

А сплайсинг - несколько другое, его суть именно в перезаписи тела функции, -
обычно первых нескольких байт, - своим кодом, обычно прыжком на свой обработчик.

Интересно где это может пригодится.

Да много где. Когда тебе, например, нужно слегка изменить поведение какой-то программы.

Почему просто нельзя вызвать функцию а после нее другую функцию которая сделает то что делается при перехвате и до восстановления контекста

Потому что функцию вызываем не мы, ее вызывает чужой код, и когда он это делает - мы точно не знаем.
Мы лишь гости в этом ~~мире~~ процессе...

@Undisputed · 07.01.2017, 22:17

Сообщение от DaVillka

ну дак в функции, в основном, передаются какие то параметры, без которых весь процесс может рухнуть

Не понял, если в функцию не были переданы обязательные параметры, то программа не скомпилируется
А если это логическая ошибка то просто нужно пофиксить

Сообщение от DaVillka

на пример виртуальные функции ты так просто не вызовешь, тебе нужно хукнуть функцию какую то, и сохранить this

Почему не вызову?

obj.virtualMethod(); какие проблемы?

А this будет указывать на текущий объект

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@DaVillka -1 / 8 / 6 Регистрация: 31.10.2015 Сообщений: 151

	Узнать адрес указателя 07.01.2017, 20:05. Показов 1788. Ответов 26 Метки нет (Все метки) Есть функция в чужой программе, которая в качестве параметров принимает указатель на структуру. Вопрос, как узнать адрес этой структуры, если нельзя поставить сплайс на начало функции, так как там уже стоит чужой сплайс? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	07.01.2017, 20:26
	С каких это пор один сплайс является помехой для другого? 0

@DaVillka -1 / 8 / 6 Регистрация: 31.10.2015 Сообщений: 151
	07.01.2017, 20:43 [ТС]
	Убежденный, ну вообще да, но в данном случае нельзя поставить, ибо та прога что ставит сплайс проверяет его наличие, если поставить поверх, то выкинет из проги, можно поставить за ним свой, но тогда в качестве указателя будет не то что нужно 0

@DaVillka -1 / 8 / 6 Регистрация: 31.10.2015 Сообщений: 151
	07.01.2017, 21:04 [ТС]
	Renji, да там стоит еще один од хук) и тоже проверяется, и дальше тоже проверяется ) Добавлено через 1 минуту Убежденный, но я не знаю как проверяется наличие сплайса, а если поставить свой сплайс после ихнего, то нельзя как то узнать адрес ? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	07.01.2017, 21:10
	А нельзя ли поставить свой сплайс раньше чужого? 0

@DaVillka -1 / 8 / 6 Регистрация: 31.10.2015 Сообщений: 151
	07.01.2017, 21:14 [ТС]
	Убежденный, можно, но его же вроде как все равно перепишет чужой сплайс ? Оо 0

@Undisputed 901 / 478 / 93 Регистрация: 10.06.2014 Сообщений: 2,700
	07.01.2017, 21:54
	Извините что залез в чужую тему, а что такое сплайс? Гугл ничего толком не выдал Это из оперы ассемблера? 0

@jupman 232 / 135 / 19 Регистрация: 10.11.2015 Сообщений: 305
	07.01.2017, 22:00
	sys_beginner, перехват посредством модификации тела функции (патч кода) 1

@Undisputed 901 / 478 / 93 Регистрация: 10.06.2014 Сообщений: 2,700
	07.01.2017, 22:09
	Убежденный, Т.е когда выполняется функция, где то хранится адрес возврата в определенный контекст для продолжения выполнения программы. На уровне ассемблера можно подменить этот адрес, выполнить какой то код, а потом снова вернуться к продолжению программы? Интересно где это может пригодится. Почему просто нельзя вызвать функцию а после нее другую функцию которая сделает то что делается при перехвате и до восстановления контекста 0

@DaVillka -1 / 8 / 6 Регистрация: 31.10.2015 Сообщений: 151
	07.01.2017, 22:14 [ТС]
	Убежденный, jupman, да, у меня свой велосипед, со сплайсами все в порядке, это у них такой защитный механизм, если по адресу стоит не их сплайс а что то другое, то рушит процесс, и да, вопрос можно закрыть, я подменил функцию в таблице импорта(хоть и там то же есть камни, но они никак не относятся к тому, что я в результате смог получить) Добавлено через 3 минуты sys_beginner, ну дак в функции, в основном, передаются какие то параметры, без которых весь процесс может рухнуть, на пример виртуальные функции ты так просто не вызовешь, тебе нужно хукнуть функцию какую то, и сохранить this 0