сплайсинг. обработка команд с относительными аргументами

hello

пишу код реализующий перехват вызова функций для x64 кода. столкнулся с subj'ем

т.е. к примеру, нужно перехватить user32!MessageBoxA():

потребуется 14 байт места под:
* оператор jmp ( FF 25 )
* 4-х байтовое относительное смещение, указывающее на 8-байтовый адрес перехода ( 00 00 00 00 )
* 8-байтовое значение адреса

даже с учётом 6-ти NOP'ов чуть выше начала функции, всё равно потребуется затронуть 3-ю команду с оператором cmp, которая работает с относительным смещением

таким образом, необходимо написать код, который будет обрабатывать команды с "относительными операндами" при построении кода моста (bridge) для передачи управления перехваченной функции

я так понимаю, самый простой способ - это динамически выделить память под мост таким образом, чтобы этот блок памяти оказался в пределах ближайших 2 ГБ (чтобы применить фиксап для операнда при переносе кода функции на мост)

вопрос: существуют ли какие-то более простые и элегантные способы построения кода при решении задачи сплайсинга под x64 ?

 

int3(kernelmode)
int3/sti/cli/...(usermode)

 

пытался нагуглить готовый солюшен, но все решения в таком духе:

http://code.google.com/p/libsplice/source/browse/trunk/src/libsplice_km/splice.c

так что делать-то в итоге? действительно придётся выделять блок памяти в пределах 2 ГБ от хукаемой функции?

 

fsd
речь идёт о usermode. я же в качестве примера привёл функцию из usermode dll'ки user32.dll.

и вообще, вышеприведённые прерывания как могут помочь в чисто теоретических рассуждениях о проблематике сплайсинга x64 кода ?

добавлено:
ставить обработчик прерывания какой-то ?
это приведёт к сокращению кода, необходимого для патчинга начала хукаемой функции ?
и что? нормально работает такое на практике ?

 

ну а отладчику как помогают если поставить?

 

можете не переживать

ну 1 байт против ваших хз скольки

 

del

 

fsd

ну, не совсем 1 байт потребуется минимум 3, чтобы в каком-то регистре ещё хранить идентификатор хукнутой функции, чтобы в обработчике исключений отличать из какой функции получено управление

 

т. е. по контексту это невозможно?)

 

fsd

немного не понял. по какому контексту? контексту потока?

 

при обработке исключения вы получите описатель исключения и контекст прерванного потока

 

fsd
ok, благодарю. попробую этот способ

 

int3 это медленно.

при сплайсинге когда копируете старый код в новое место, проверяйте опкод и если инструкция использует относительный адрес заменяйте ее на другую, с адресом нужной длины.

та же проблема была и при сплайсинге х32 кода %)

 

не "та же"

ну вот текущий пример. cmp на что менять, при условии, что код от начала хукаемой функции будет выполняться не в пределах 2 ГБ от адреса, откуда он был взят ?

добавлено:
я так понимаю, придётся дополнительно 8 байт где-то резервировать и фиксапать (операнд инструкции cmp моста для вызова хукаемой функции) на них
а это слишком накладно, я так думаю

 

но вообще конечно желательно выделять память в пределах 2ГБ,
14 байт это перебор, с большой вероятностью попадется функция меньшего размера

 

ну да, очень

 

ну да, если в пределах 2ГБ выделять, то потребуется 5 байт на относительный JMP и 4-х байтовый операнд

но я склоняюсь к мысли, что всё равно это слишком накладно (надо будет выделять отдельный блок памяти под каждую хукаемую функцию)

а вот если через исключения делать - не потребуется код для выставления фиксапов (т.к. в начале функции всегда длинная инструкция по модификации стекового регистра)
однако, это медленнее, т.к. постоянно идёт переключение в ядро
остаётся понять насколько медленнее это будет на практике

 

заметить это врядли выйдет

 

fsd
VEH для этих целей нормально юзать?
или надёжнее похукать что-то вроде KiUserExceptionDispatcher?

 

угу