我这段hook代码有什么问题

li574000

目的：我想hook first函数，好让调用first函数的时候实际调用的是second函数。方式就是改写first函数地址处的指令，改成成jmp second这种指令,也就是跳转到second函数运行。
试验平台是WINDOWSXP ,VS2005.

出现问题：当我调用first函数的时候，通过汇编跟踪，发现最终调用的汇编代码是下面这句
0041124E FF 25 5A 10 41 00 jmp         dword ptr [second (41105Ah)]
但是当执行上面这句的时候，不知道为什么他跳转的地址不是上面列出的地址，也就是（41105Ah），而是下面这个地址：
000621E9 ??               ???
显然，这个地址啥都没有，所以指令执行失败，弹出内存访问错误。这里不解的是明明跳转的地址是对的，但是运行的时候就跳到了另一个未知的地址哪？困惑好久，实在无法解决。
下面就是代码部分



include "stdafx.h"
#include "iostream"
#include <windows.h>
using namespace std;

void  first(void);
void  second(void);

int _tmain(int argc, _TCHAR* argv[])
{
        DWORD old,newp;
        DWORD addfirst=(DWORD)first;
        DWORD addsecond=(DWORD)second;
        DWORD newfunc=(DWORD)(&addsecond);

                //更改代码段的读写属性，否则XP下写这个内存违法
        if (::VirtualProtect((LPVOID)addfirst,6,PAGE_EXECUTE_READWRITE,&old)==0)
        {
                cout<<"error"<<endl;
        }
       
                 //0xff25是INTEL指令的 jmp
        *(unsigned char*)addfirst=(unsigned char)0xff;
        *(((unsigned char*)addfirst) +1)=(unsigned char)0x25;
                //下面是把second函数的地址写入到jmp指令后面
        DWORD lpnew=(DWORD)&second;
        memcpy((void*)(addfirst+2),(const void *)&lpnew,sizeof(DWORD));

               //把内存读写属性恢复
        if (::VirtualProtect((LPVOID)addfirst,6,old,&newp)==0)
        {
                cout<<"error"<<endl;
        }

                //强制更新cache，防止写了内存但是没有更新内存对应的cache。
        FlushInstructionCache(GetCurrentProcess(),NULL,0);

                //调用first，执行的时候弹出内存访问错误
        first();
        char c;
        cin>>c;
}

void first(void)
{
        cout<<"it is in first"<<endl;
}

void second(void)
{
                cout<<"it is in second"<<endl;
}

huangwei0413

回复 1# li574000


    jmp指令后面的4个字节应该填目标地址（second）与IP（jmp下一条指令）的差值。

li574000

是的，这样返回是会有问题，不过我现在测试的是调用，所以没有恢复的动作，但是现在是调用都不行，我用反汇编单步调试，就是执行到说的那个跳转的地方莫名其妙的就跳到了一个地址，这个地址都不知道是从哪里来的。

huangwei0413

我想应该是把(second - first + 6)赋给addfirst+2

li574000

回复  li574000


    jmp指令后面的4个字节应该填目标地址（second）与IP（jmp下一条指令）的差值。
huangwei0413 发表于 2010-03-25 10:32

    jmp指令的用法是规定IP的差值吗？我印象中好像可以直接跳转到某个虚拟地址的

li574000

我想应该是把(second - first + 6)赋给addfirst+2
huangwei0413 发表于 2010-03-25 10:47

    好的，我先试验下，有结果再回复你

huangwei0413

好的，我先试验下，有结果再回复你
li574000 发表于 2010-03-25 10:48

    不好意思，搞错了，应该把second-first-6赋给addfirst+2

li574000

不行，jmp执行的时候不是按照IP的偏移来执行的，还是按照绝对的虚拟地址来执行的。所以刚才的方法还是不行。

irp

jmp dword ptr [address] 是 jmp 到 *address, 不是 address,
jmp 到 address应该是:　设 jmp 指令所在地址是 source, jmp 的目的地址是 destine, 则
jmp destine - source - 5

li574000

不好意思，有点晕了，不知道上面的代码如何改正才能执行哪，我是抄周伟明那本《多核并行程序设计》上的代码段的。还有，你们给出跳转都是近跳转，相对于当前IP的，但是上面的汇编
应该是长跳转吧。