Linux下，如何实现函数的拦截，或者覆盖，或者说是热补丁

eveson

其实就是：
A调用函数B，
但是通过某种手段将B和C关联起来，
这样当A再调用B的时候，就会进入C

对于单元测试来说，C可以认为是个A的桩函数，在win32下有解决办法，但是Linux下不知道怎么办，根据网上写的一些原理来自己实现，感觉挺难，一看汇编就头大。
有没有解决办法？？？？？？

peijue

比较高深， 不懂

OwnWaterloo

如果"热补丁"是指cl 的 /hotpatch 与 /functionpadmin 在gcc下的对应物， 可试试4.5新加入的ms_hook_prologue。

http://gcc.gnu.org/onlinedocs/gc ... ion-Attributes.html

ms_hook_prologue

On 32 bit i[34567]86-*-* targets, you can use this function attribute to make gcc generate the "hot-patching" function prologue used in Win32 API functions in Microsoft Windows XP Service Pack 2 and newer.

如果文档描述 —— used in Win32 API functions in Microsoft Windows XP Service Pack 2 and newer. ——非虚， 那应该就会：
1. 在函数入口生成 mov edi, edi 两字节的 "nop"
2. 在函数入口上生成5个以上的 nop指令。

我这里gcc最高只有4.4.x， 没法验证了……


另外， 在x86上， 即使没有ms_hook_prologue，只要有普通的prologue：
push ebp
mov ebp,esp
sub ebp, ??

不算sub的第2个操作数， 刚好5字节， 可替换为一个跳转。
比hotpatch要麻烦很多， 但也是可以做到的。
可参考许多 "API HOOK" 的文章。

eveson

浏览了一下以前的帖子，时间真是过得飞快啊。
这个可以修改运行时代码段的跳转指令实现动态打桩。