欧美日韩精品久久久,国产一级久久,美女国产一区

转蝲�Q�不要一辈子靠技术生存）

Sun, 14 Apr 2013 14:27:00 GMT

我现在是自己做，但我此前有多�q�在从事软�g开发工作，当回�q�头来想一惌��己，觉得特别惛_��那些初学JAVA/DOT。NET技术的朋友说点心里话，希望你们能从我们的体会中�Q�多��受点启�?也许我说的不好，你不赞同但看在我真心的䆾上别扔砖头啊).

    一�?在中国你千万不要因�ؓ学习技术就可以换来�E�_��的生�z�d��高的薪水待遇�Q�你千万更不要认为哪些从�?市场开发，跑腿的�h�Q�没有前途�?br />
    不知道你是不是知道，�׃��中国有相当大的一部分软�g公司�Q�他们的软�g开发团队都��的可怜，甚至只有1-3个�h�Q�连一个项目小�l�都��不上，而这��L��团队却要承担一个��Y件公司所有的软�g开发�Q务，在��Y件上�U�和开发的关键阶段需要团队的成员没日没夜的加班，�q�需要�ؓ��试出的BUG和不能按时提交的软�g模块功能而心怀忐忑�Q�有的时候如果你不幸加入现场开发的团队你则需要背井离乡告别你的女友，�q�行��闭开发，你��^旉��了编码之外就是吃饭和睡觉�Q�有��q��公司甚至请个保姆��Z��做饭�Q�以让你节省出更多的旉��来投入到工作中，让你一直在那种累了��׃��息，不篏��q��卛_��作的状态）

    更可怕的是，会让你接触的人际关系非常单一�Q�除了有限的技术�h员之外你几乎见不到做其他行业工作和职位的人，你的朋友圈子��且单一�Q�甚至破坏你原有的爱情（惌��一下，你在外地做现场开�?个月以上�Q�却从没跟女友见�q�一面的话，你的奛_��是不是会对你呲牙裂嘴�Q��?br />

    也许你拿��C��所谓的白领的工资，但你却从此失��M�n受生�zȝ��自由�Q�如果你惛_��技术�h员尤其是开发�h员，我想你很快就会理解，你多么想在一个地斚w��期待一�D�|��_��认识一些朋友，多一些生�z�L��间的愿望�?br />
    比之于我们的生活和�h际关�p�d��工作�Q�那些从事售前和市场开发的朋友�Q�却有比我们多的多的工作之外的时��_��甚至他们工作的时间有的时候是和生�zȝ��旉��是可以兼�儡��Q�他们可以通过市场开发，认识各个行业的�h士，可以认识各种各样的朋友，他们比我们坦率说更有发胦和发展的��Z��Q�只要他们跟我们一样勤奋。（有一�U�勤奋的普通�h�Q�如果给他换个地方，他马上会成�ؓ一个勤奋且��Z��的�h。）

    二。在学习技术的时候千万不要认为如果做到技术最强，��可以成�?00%受尊重的人�?br />
    有一�ơ一个�h在面试项目经理的时候说了这么一�D�话�Q�我只用最听话的�h�Q�按照我的要求做只要是听话就要，如果不听话不��他技术再好也不要。随后这个�h得到了试用机会，如果没意外的话，他一定会是下一个项目经理的�l��Q者�?br />
    朋友们你知道吗？不管你技术有多强�Q�你也不可能自由的腾出时间象别�h那样研究一下LINUX源码�Q�甚臛_��一个LINUX��L��C��来表��C��的才能。你需要做的就是按照要求写代码�Q�写代码的含义就是都规定好，你按照规定写�Q�你很快��׃��发现你昨天写的代码，跟今天写的代码有很多�c�M��Q�等你写�q�一�D�|��间的代码�Q�你��领略：复制�Q�拷贝，�_�脓那样的技术对你来说是何等重要。（如果你没有做�q?�q�以上的真正意义上的开发不要反��x��Q��?br />
    如果你幸�q�的能够听到市场人员的谈话，或是领导们的谈话�Q�你会隐�U�觉得他们都在把技术�h员当作编码的机器来看�Q�你的�h值�ƈ没有你想象的那么重要。而在你所在的团队内部�Q�你可能正在��Z��个技术问题的讨论再跟同事搞内耗，因�ؓ他不服你�Q�你也不服他�Q�你们都认�ؓ自己的对�Q�其实你们两个都对，而争论的目的��是��Z��在关键场合证明一下自己比�Ҏ��技术好�Q�比�Ҏ��强。（在一个项目开发中�Q�没有�h愿意长期听别人的�Q��L��换个位置领导别�h。）

    三。你更不要认为，如果我技术够好，我就自己创业�Q�自己有创业的资本，因�ؓ自己是搞技术的�?br />
    如果你那栯��为，真的是大错特错了�Q�你可以做个调查在非技术�h��中�Q�没有几个�h知道C#与JAVA的，更谈不上来欣赏你的技术是好还是不好。一句话�Q�技术仅仅是一个工��P��善于�q�用�q�个工具为别人干�zȝ��人，却往往不太擅长用这个工��h��己创业，因�ؓ�q�是两个概念�Q�训�l�的技能也是完全不同的�?br />
    创业最开始的时候，你的人际关系�Q�你处理人际关系的能力，你对�C�会潜规则的认识�Q�还有你明白不明白别人的心，你会不会说让人喜�Ƣ的话，�q�有你对自己所提供的服务的�{�划和推销�{�等�Q�也许有一万，一百万个值得我们重视的问题，但你会发现技术却很少有可能包含在�q�一万或一百万之内�Q�如果你创业��C��一个快成功的阶�D�，你会�q�样告诉自己�Q�我�q�吗要亲自做技术，我聘一个�h不就行了�Q�这时候你才真正会理解技术的作用�Q�和你以前做技术�h员的作用�?br />
    [��结]

    ��Z��上面的讨论，我奉劝那些学习技术的朋友�Q�千万不要拿�U��D考试��L��心态去学习技�?�Ҏ��术的学习几近的痴�q�P��x��握所有所有的技术，以让自己成�ؓ技术领域的权威和专�Ӟ��以在必要的时候或是心里不畅快的时候到�|�上对着菜鸟说自己是前辈�?br />
    技术仅仅是一个工��P��是你在�h生一个阶�D는�存的工具�Q�你可以一辈子喜欢他，但最好不要一辈子靠它生存�?br />
    掌握技术的唯一目的��是拿它扑ַ�作（如果你不��x��技术当作你�W�二生命的话�Q�，��是�q�活。所以你在学习的时候千万不要去做那些所谓的技术习题或是研�I��些帽泡算法，最大数��法了，什么叫�q�活�Q?br />
    ��是做一个东西让别�h用，别�h用了�Q�可以提高他们的工作效率�Q�想象吧�Q�你�?万道技术习题有什么用�Q�只会让��得酸腐，�q�是在学习的时候，多培��M��自己务实的态度吧，比如研究一下当地市场目前有哪些软�g公司用�h�Q�自��q��他们的要求到底有多远�Q�自己具体应该怎么做才可以辑ֈ�他们的要求。等你分析完�q�些�Q�你��׃��发现�Q�找工作成功�Q�技术的贡献率其实�ƈ没有你原来想象的那么高�?br />
    不管你是学习技术�ؓ了找工作�q�是创业�Q�你都要�Ҏ��术本�w�有个清醒的认识�Q�在中国不会出现BILL GATES�Q�因为，中国目前�q�不是十分的��重技术�h才，�q�仅仅的停留在把软�g技术�h才当作�h才机器来用的��尬境地。（如果你不理解�Q�一�U�可能是你目前仅仅从事过技术工作，你的朋友圈子里技术类的朋友占了大多数�Q�一�U�可能是你还没有工作�Q�但喜欢��L��。盖茨的传记�Q��?

深邃�?/a> 2013-04-14 22:27 发表评论

五种�E�序设计�Ҏ��

Thu, 16 Sep 2010 06:45:00 GMT

五种�E�序设计�Ҏ��

1. �l�构化程序设�?/span>

��Z��提高�E�序的可��L��、可重用性等�Q�逐渐出现了将�E�序开发中�l�常用到的相同的功能�Q�比如数学函数运��、字�W�串操作�{�，独立出来�~�写成函敎ͼ�然后按照�怺�关系或应用领域汇集在相同的文仉��Q�这些文件构成了函数�?/span>�?/span>

函数库是一�U�对信息的封装，��常用的函数��装��h��Q��h们不必知道如何实现它们。只需要了解如何调用它们即可。函数库可以被多个应用程序共享，在具体编�E�环境中�Q�一般都有一个头文�g�怼��Q�在�q�个头文件中以标准的方式定义了库中每个函数的接口�Q�根据这些接口�Ş式可以在�E�序中的��M��地方调用所需的函数�?/span>

�׃��函数、库、模块等一�p�d��概念和技术的出现�Q�程序设计逐渐变成如图所�C�的风格。程序被分解成一个个函数模块�Q�其中既有系�l�函敎ͼ�也有用户定义的函数。通过对函数的调用�Q�程序的�q�行逐步被展开�?/span>阅读�E�序�Ӟ��׃��每一块的功能相对独立�Q�因此对�E�序�l�构的理解相对容易，在一定程度上�~�解了程序代码可��L��和可重用�g的矛盾，但�ƈ未彻底解决矛盾。随着计算机程序的规模��来��大�Q�这个问题变得更加尖锐，于是出现了另一�U�编�E�风�?/span>—�?/font>�l�构化程序设�?/span>�?/span>

在结构化�E�序设计中，��M��E�序�D늚��~�写都基�?/span>3�U�结构：分支�l�构、��@环结构和��序�l�构�?/span>�E�序��h��明显的模块化特征�Q�每个程序模块具有惟一的出口和入口语句。结构化�E�序的结构简单清晎ͼ�模块化强�Q�描�q�方式脓�q��h们习惯的推理式思维方式。因此可��L��强�Q�在软�g重用性、��Y件维护等斚w��都有所�q�步�Q�在大型软�g开发尤其是大型�U�学与工�E�运��Y件的开发中发挥了重要作用。因此到目前为止�Q�仍有许多应用程序的开发采用结构化�E�序设计技术和�Ҏ��。即使在目前��行的面向对象��Y件开发中也不能完全脱��ȝ��构化�E�序设计�?/span>

2. 面向对象�E�序设计

面向对象的程序役计方法是�E�序设计的一�U�新�Ҏ��。所有面向对象的�E�序设计语言一般都含有三个斚w��的语法机�Ӟ��卛_��象和�c�R��多态性、��承性�?/span>

1�Q�对象和�c?/span>

对象的概��c��原理和�Ҏ��是面向对象的理序设计语言晕重要的特征。对象是用户定义的类型（�U�Cؓ�c�）的变量。一个对象是既包含数据又包合操作该数据的代码�Q�函敎ͼ�的逻辑实体。对象中的这些数据和函数�U�Cؓ对象的成员，��x��员数据和成员函数。对象中的成员分为公有的和私有的�?span>公有成员是对象与外界的接口界面。外界只能通过调用讉K��一个对象的公有成员来实现该对象的功能。私有成员体��C��个对象的�l�织形式和功能的实现�l�节。外界无法对�U�有成员�q�行操作�?/span>�c�d��象按照规范进行操作，��描�q�客观事物的数据表达及对数据的操作处理封装在一��P��成功地实��C��面向对象的程序设计。当用户定义了一个类�c�d��后，��可以在该类型的名下定义变量�Q�即对象�Q�了�?span>�c�L��l�构体类型的扩充�?/span>�l�构体中引入成员函数�q�规定了其访问和�l�承原则后便成了�c�R�?/span>

2�Q�多态�?/span>

面向对象的程序设计语�a�支持“多态�?/span>”�Q�把一个接口用于一�c�L��动。即“一个接口多�U�算�?/span>”。具体实施时该选择哪一个算法是��q��定的语法机制��定的�?/span>C++�~�译时和�q�行旉��支持多态性�?span>�~�译时的多态性体现在重蝲函数和重载运��符�{�方面。运行时的多态性体现在�l�承关系及虚函数�{�方面�?/span>

3�Q��承�?/span>

C++�E�序中，�׃��个类�Q�称为基�c�）可以�z��出新�c�（�U�Cؓ�z��c�）。这�U�派生的语法机制使得新类的出现轻松自�Ӟ��使得一个复杂事物可以被��理成章地归�l��ؓ由逐层�z��的对象描�q��?/span>“�z��”使得�E�序中定义的�c�d��层次�l�构。处于子层的对参既具有其父层对象的共性．又具有自�w�的�Ҏ��。��承性是一个类对象获得其基�c�d��象特性的�q�程�?/span>C++中严格地规定了派生类对其基类的��承原则和讉K��权限�Q��得程序中�Ҏ��据和函数的访��_��需在家族和朋友间严格区分�?/span>

3. 事�g驱动的程序设�?/span>

事�g驱动的程序设计实际上是面向对象程序设计的一个应用，但它目前仅适用�?/span>windows�p�d��操作�pȝ��?/span>windows环境中的应用�E�序�?/span>MS�Q?/span>DOS环境中的应用�E�序�q�行机制不同、设计程序的方式也不一栗��?/span>windows�E�序采用事�g驱动机制�q�行�Q�这�U�事仉��动程序由事�g的发生与否来控制�Q�系�l�中每个对象状态副改变都是事�g发生的原由或�l�果�Q�设计程序时需以一�U�非��序方式处理事�g�Q�与��序的�?span>�q�程驱动的传�l�程序设计方法��E�?/span>�?/span>

事�g也称消息�Q�含义比较广泛，常见的事件有鼠标事�g(如民标移动、单凅R��掠�q�窗口边�?/span>)、键盘事�?/span>(如按键的压下与拾�?/span>)�{�多�U�。应用程序运行经�q�一�p�d��必要的初始化后，��进入等待状态，�{�待有事件发生，一旦事件出玎ͼ��E�序��p��Ȁ�z�dƈ�q�行相应处理�?/span>

事�g驱动�E�序设计是围�l�着消息的��生与处理�q�行的．消息可来自程序中的某个对象，也可��q��戗��?/span>wlndow s或运行着的其他应用程序��生。每当事件发生时�Q?/span>Windows俘获有关事�g�Q�然后将消息分别转发到相兛_��用程序中的有兛_��象，需要对消息作出反应的对象应该提供消息处理函敎ͼ�通过�q�个消息处理函数实现对象的一�U�功能或行�ؓ。所以编写事仉��动程序的大部分工作是为各个对�?/span>(�c?/span>)��d��各种消息的处理函�?/span>。由于一个对象可以是消息的接收者，同时也可能是消息的发送者，所发送的消息与接收到的消息也可以是相同的消息�Q�而有些消息的发出旉��是无法预知的(比如关于键盘的消�?/span>)�Q�因此应用程序的执行��序是无法预知的�?/span>

4. 逻辑式对象程序设�?/span>

逻辑式程序设计的概念来自逻辑式程序设计语�a�Prolog�q�一曄��在计��机领域引�v震动的日�?/span>“�W�五�?/span>”计算机的基本�pȝ��语言�Q�在�q�种“�W�五�?/span>”计算��Z��Q?/span>Prolog的地位相当于当前计算��Z��的机器语�a��?/span>

Prolog主要应用在�h工智能领�?/span>�Q�在自然语言处理、数据库查询、算法描�q�等斚w��都有应用�Q?span>��其适于作�ؓ专家�pȝ��的开发工兗��?/span>

Prolog是一�U�陈�q�式语言�Q�它不是一�U�严格的通用�E�序设计语言�Q��?/span>Prolog�~�写�E�序不需要描�q�具体的解题�q�程、只需�l�出一些必要的事实和规则，�q�些规则是解决问题方法的规范说明�Q�根据这些规则和事实�Q�计��机利用渭词逻辑�Q�通过演绎推理得到求解问题的执行序列�?/span>

5. �q�行�E�序设计

一个有实际应用的�ƈ行算法，最�l�总要在�ƈ行机上实玎ͼ�为此首先��p��ƈ行算法�{化�ؓ�q�行�E�序�Q�此�q�程��是所谓的�q�行�E�序设计(Parallel Program)。它要求��法设计者、系�l�结构师和��Y件工作者广泛频�J�的交互。因��计�ƈ行程序涉及到的知识面较广�Q�主要包括操作系�l�中的有关知识和优化�~�译斚w��的知识。操作系�l�内定w��怸�富，�q�行�E�序中最基本的计��要素如��d��、进�E�、线�E�等基本概念、同步机制和通信操作�{��?/span>

目前�q�行�E�序设计的状冉|��Q?/span>�?/span>�q�行软�g的发展落后于�q�行��g�Q?/span>�?/span>和串行系�l�与应用软�g相比�Q�现今的�q�行�pȝ��与应用��Y件甚��且不成熟；�?/span>�q�行软�g的缺乏是发展�q�行计算的主要障��；�?/span>不幸的是�Q�这�U�状态似乎仍在��l�着。究其原因是�q�行�E�序设计�q�比串行�E�序设计复杂�Q?/span>�?/span>�q�行�E�序设计不但包含了串行程序设计，面且�q�包含了更多的富有挑战性的问题�Q?/span>�?/span>串行�E�序设计仅有一个普遍被接受的冯·��Z��D��模型，而�ƈ行计��模型虽有好多，但没有一个可被共同认可的像冯·��Z��曼那��L��优秀模型�Q?/span>�?/span>�q�行�E�序设计对环境工�?/span>(如编译、查错等)的要求远比串行程序设计先�q�得多；�?/span>串行�E�序设计比较适合于自然习惯，且�h们在�q�去�U�篏了大量的�~�程知识、经验和宝贵的��Y件胦富�?/span>

深邃�?/a> 2010-09-16 14:45 发表评论

Thu, 16 Sep 2010 06:22:00 GMT

一个由c/C++�~�译的程序占用的内存分�ؓ以下几个部分
1、栈区（stack�Q��?/font> ��q��译器自动分配释放 �Q�存攑և�数的参数��|��局部变量的值等。其操作方式�c�M��于数据结构中的栈�?br>2、堆区（heap�Q?/font> �?一般由�E�序员分配释放，若程序员不释放，�E�序�l�束时可能由OS回收。注意它与数据结构中的堆是两回事�Q�分配方式倒是�c�M��于链表，呵呵�?br>3、全局区（静态区�Q�（static�Q�—，全局变量和静态变量的存储是放在一块的�Q�初始化的全局变量和静态变量在一块区域，未初始化的全局变量和未初始化的静态变量在盔R��的另一块区域�?- �E�序�l�束后有�pȝ��释放
4、文字常量区 —常量字�W�串��是攑֜��q�里的�?�E�序�l�束后由�pȝ��释放
5、程序代码区—存攑և��C��的二�q�制代码�?

堆和栈的理论知识
2.1甌��方式
stack:
��q��l�自动分配�?/u> 例如�Q�声明在函数中一个局部变�?int b; �pȝ��自动在栈中�ؓb开辟空�?br>heap:
需要程序员自己甌��Q��ƈ指明大小�Q�在c中malloc函数
如p1 = (char *)malloc(10);
在C++中用new�q�算�W?br>如p2 = (char *)malloc(10);
但是注意p1、p2本��n是在栈中的�?br>2.2甌��后系�l�的响应
栈：只要栈的剩余�I�间大于所甌��I�间�Q�系�l�将为程序提供内存，否则��报异常提示栈溢出�?br>堆：首先应该知道操作�pȝ��有一个记录空闲内存地址的链�?/font>�Q�当�pȝ��收到�E�序的申��h��Q?br>�?遍历该链表，��L��W�一个空间大于所甌��I�间的堆�l�点�Q�然后将该结点从�I�闲�l�点链表中删除，�q�将该结点的�I�间分配�l�程序，另外�Q�对于大多数�pȝ��Q�会在这块内存空间中的首地址处记录本�ơ分配的大小�Q�这��P��代码中的delete语句才能正确的释放本内存�I�间。另外，�׃��扑ֈ�的堆�l�点的大��不一定正好等于申��L��?��，�pȝ��会自动的��多余的那部分重新放入空闲链表中�?br>2.3甌��大小的限�?/font>
栈：在Windows�?栈是向低地址扩展的数据结构，是一�?�q�箋的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是�pȝ��预先规定好的�Q�在 WINDOWS下，栈的大小�?M�Q�也有的说是1M�Q��M��是一个编译时��q��定的常数�Q�，如果甌��的空间超�q�栈的剩余空间时�Q�将提示overflow。因此，能从栈获得的�I�间较小�?br>堆：堆是向高地址扩展的数据结构，是不�q�箋的内存区域�?/font>�q�是�׃��pȝ��是用链表来存储的�I�闲内存地址的，自然是不�q�箋的，而链表的遍历方向是由低地址向高地址。堆的大��受限于计算机系�l�中有效的虚拟内存。由此可见，堆获得的�I�间比较灉|��Q�也比较大�?br>2.4甌��效率的比较：
栈由�pȝ��自动分配�Q�速度较快。但�E�序员是无法控制的�?/font>
堆是由new分配的内存，一般速度比较慢，而且�Ҏ��产生内存��片,不过用�v来最方便.
另外�Q�在WINDOWS下，最好的方式是用VirtualAlloc分配内存�Q�他不是在堆�Q�也不是在栈是直接在�q�程的地址�I�间中保留一快内存，虽然用�v来最不方�ѝ��但是速度�Q?也最灉|��
2.5堆和栈中的存储内�?/font>
栈：在函数调用时�Q�第一个进栈的是主函数中后的下一条指令（函数调用语句的下一条可执行语句�Q�的地址�Q�然后是函数的各个参敎ͼ�在大多数的C�~�译器中�Q�参数是由右往左入栈的�Q�然后是函数中的局部变量。注意静态变量是不入栈的�?br>当本�ơ函数调用结束后�Q�局部变量先出栈�Q�然后是参数�Q�最后栈��指针指向最开始存的地址�Q�也��是��d��C��的下一条指令，�E�序��p��点��l�运行�?br>堆：一般是在堆的头部用一个字节存攑֠�的大��。堆中的具体内容有程序员安排�?br>2.6存取效率的比�?/font>

char s1[] = "aaaaaaaaaaaaaaa";
char *s2 = "bbbbbbbbbbbbbbbbb";
aaaaaaaaaaa是在�q�行时刻赋值的�Q?br>而bbbbbbbbbbb是在�~�译时就��定的；
但是�Q�在以后的存取中�Q�在栈上的数�l�比指针所指向的字�W�串(例如�?快�?br>比如�Q?br>#include
void main()
{
char a = 1;
char c[] = "1234567890";
char *p ="1234567890";
a = c[1];
a = p[1];
return;
}
对应的汇�~�代�?br>10: a = c[1];
00401067 8A 4D F1 mov cl,byte ptr [ebp-0Fh]
0040106A 88 4D FC mov byte ptr [ebp-4],cl
11: a = p[1];
0040106D 8B 55 EC mov edx,dword ptr [ebp-14h]
00401070 8A 42 01 mov al,byte ptr [edx+1]
00401073 88 45 FC mov byte ptr [ebp-4],al
�W�一�U�在��d��时直接就把字�W�串中的元素��d��寄存器cl中，而第二种则要先把指edx中，在根据edx��d��字符�Q�显然慢了�?br>
2.7��结�Q?/strong>
堆和栈的区别可以用如下的比喻来看出：
使用栈就象我们去饭馆里吃�?/font>�Q�只��点菜（发出甌��Q�、付钱、和吃（使用�Q�，吃饱了就赎ͼ�不必理会切菜、洗菜等准备工作和洗��、刷锅等扫尾工作�Q?font color=#ff00ff>他的好处是快��P��但是自由度小�?/font>
使用堆就象是自己动手做喜�Ƣ吃的菜�?/font>�Q�比较麻烦，但是�?font color=#ff0000>较符合自��q��口味�Q�而且自由度大�?/p>

深邃�?/a> 2010-09-16 14:22 发表评论

Thu, 16 Sep 2010 06:06:00 GMT

Windows 钩子
CreateRemoteThread �?WriteProcessMemory 技�?/font>
—�?a >如何用该技术子�c�d��q�程控�g
—�?a href="http://www.vckbase.com/document/viewdoc/?id=1886#何时使用_CreateRemoteThread_和_WriteProcessMemory_技�?>何时使用 CreateRemoteThread �?WriteProcessMemory 技�?/font>
参考资�?/font>

��?/p>
　　本文��讨论如何把代码注入不同的进�E�地址�I�间�Q�然后在该进�E�的上下文中执行注入的代码�?我们在网上可以查��C��些窗�?密码侦测的应用例子，�|�上的这些程序大多都依赖 Windows 钩子技术来实现。本文将讨论除了使用 Windows 钩子技术以外的其它技术来实现�q�个功能。如图一所�C�：

图一　WinSpy 密码侦测�E�序

��Z��扑ֈ�解决问题的方法。首先让我们��单回��一下问题背景�?br>　　�?#8220;��d��”某个控�g的内容——无��个控件是否属于当前的应用�E�序——通常都是发�?WM_GETTEXT 消息来实现。这个技术也同样应用到编辑控�Ӟ��但是如果该编辑控件属于另外一个进�E��ƈ讄��?ES_PASSWORD 式样�Q�那么上面讲的方法就行不通了。用 WM_GETTEXT 来获取控件的内容只适用于进�E?#8220;拥有”密码控�g的情��c��所以我们的问题变成了如何在另外一个进�E�的地址�I�间执行�Q?/p>
::SendMessage( hPwdEdit, WM_GETTEXT, nMaxChars, psBuffer );

通常有三�U�可能性来解决�q�个问题�?/p>

��你的代码放入某�?DLL�Q�然后通过 Windows 钩子映射该DLL到远�E�进�E�；
��你的代码放入某�?DLL�Q�然后通过 CreateRemoteThread �?LoadLibrary 技术映��该DLL到远�E�进�E�；
如果不写单独�?DLL�Q�可以直接将你的代码拯��到远�E�进�E�——通过 WriteProcessMemory——�ƈ�?CreateRemoteThread 启动它的执行。本文将在第三部分详�l�描�q�该技术实现细节；

�W�一部分�Q?Windows 钩子

范例�E�序——参见HookSpy 和HookInjEx

　　Windows 钩子主要作用是监控某些线�E�的消息��。通常我们��钩子分为本地钩子和�q�程钩子以及�pȝ��U�钩子，本地钩子一般监控属于本�q�程的线�E�的消息��，�q�程钩子是线�E�专用的�Q�用于监控属于另外进�E�的�U�程消息��。系�l��钩子监控�q�行在当前系�l�中的所有线�E�的消息��?br>　　如果钩子作用的线�E�属于另外的�q�程�Q�那么你的钩子过�E�必��驻留在某个动态链接库�Q�DLL�Q�中。然后系�l�映��包含钩子过�E�的DLL到钩子作用的�U�程的地址�I�间。Windows��映��整�?DLL�Q�而不仅仅是钩子过�E�。这��是��Z��?Windows 钩子能被用于��代码注入到别的�q�程地址�I�间的原因�?br>　　本文我不打算涉及钩子的具体细节（关于钩子的细节请参见 MSDN 库中�?SetWindowHookEx API�Q�，但我在此要给��Z��个很有用心得�Q�在相关文��中你是找不到�q�些内容的：

在成功调�?SetWindowsHookEx 后，�pȝ��自动映射 DLL 到钩子作用的�U�程地址�I�间�Q�但不必立即发生映射�Q�因�?Windows 钩子都是消息�Q�DLL 在消息事件发生前�q�没有��生实际的映射。例如：
　　如果你安装一个钩子监控某些线�E�（WH_CALLWNDPROC�Q�的非队列消息，在消息被实际发送到�Q�某些窗口的�Q�钩子作用的�U�程之前�Q�该DLL 是不会被映射到远�E�进�E�的。换句话��_��如果 UnhookWindowsHookEx 在某个消息被发送到钩子作用的线�E�之前被调用�Q�DLL �Ҏ��不会被映��到�q�程�q�程�Q�即�?SetWindowsHookEx 本��n调用成功�Q�。�ؓ了强制进行映��，在调�?SetWindowsHookEx 之后马上发送一个事件到相关的线�E��?br>　　在UnhookWindowsHookEx了之后，对于没有映射的DLL处理�Ҏ��也一栗��只有在��_��的事件发生后�Q�DLL才会有真正的映射�?
当你安装钩子后，它们可能影响整个�pȝ��得性能�Q�尤其是�pȝ��U�钩子）�Q�但是你可以很容易解册��个问题，如果你��用线�E�专用钩子的DLL映射机制�Q��ƈ不截��h��息。考虑使用如下代码�Q?br>
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { if( ul_reason_for_call == DLL_PROCESS_ATTACH ) { // Increase reference count via LoadLibrary char lib_name[MAX_PATH]; ::GetModuleFileName( hModule, lib_name, MAX_PATH ); ::LoadLibrary( lib_name ); // Safely remove hook ::UnhookWindowsHookEx( g_hHook ); } return TRUE; }
　　那么会发生什么呢�Q�首先我们通过Windows 钩子��DLL映射到远�E�进�E�。然后，在DLL被实际映��之后，我们解开钩子。通常当第一个消息到��N��子作用线�E�时�Q�DLL此时也不会被映射。这里的处理技巧是调用LoadLibrary通过增加 DLLs的引用计数来防止映射不成功�?br>　　现在剩下的问题是如何卸蝲DLL�Q�UnhookWindowsHookEx 是不会做�q�个事情的，因�ؓ钩子已经不作用于�U�程了。你可以像下面这样做�Q?br>

��在你想要解除DLL映射前，安装另一个钩子；
发送一�?#8220;�Ҏ��”消息到远�E�线�E�；
在钩子过�E�中截获�q�个消息�Q�响应该消息时调�?FreeLibrary �?UnhookWindowsHookEx�Q?/li>

　　目前只��用了钩子来从处理�q�程�q�程中DLL的映��和解除映射。在�?#8220;作用于线�E�的”钩子�Ҏ��能没有影响�?br>下面我们��讨论另外一�U�方法，�q�个�Ҏ��?LoadLibrary 技术的不同之处是DLL的映��机制不会干预目标进�E�。相对LoadLibrary 技术，�q�部分描�q�的�Ҏ��适用�?WinNT和Win9x�?br>　　但是�Q�什么时候��用这个技巧呢�Q�答案是当DLL必须在远�E�进�E�中�ȝ��较长旉��Q�即如果你子�c�d��某个属于另外一个进�E�的控�g�Ӟ��以及你想��可能少的干涉目标进�E�时。我�?HookSpy 中没有��用它�Q�因为注入DLL 的时间�ƈ不长——注入时间只要��够得到密码即可。我提供了另外一个例子程序——HookInjEx——来�C��。HookInjEx ��DLL映射到资源管理器“explorer.exe”�Q��ƈ从中/解除影射�Q�它子类�?#8220;开�?#8221;按钮�Q��ƈ交换鼠标左右键单�?#8220;开�?#8221;按钮的功能�?

HookSpy �?HookInjEx 的源代码都可以从本文�?a >下蝲源代�?/font>中获得�?
�W�二部分�Q?a name=CreateRemoteThread_和_LoadLibrary_技�?CreateRemoteThread �?LoadLibrary 技�?/a>
范例�E�序——LibSpy
通常�Q��Q何进�E�都可以通过 LoadLibrary API 动态加载DLL。但是，如何强制一个外部进�E�调用这个函数呢�Q�答案是�Q�CreateRemoteThread�?br>首先�Q�让我们看一�?LoadLibrary 和FreeLibrary API 的声明：

HINSTANCE LoadLibrary( LPCTSTR lpLibFileName // 库模块文件名的地址 ); BOOL FreeLibrary( HMODULE hLibModule // 要加载的库模块的句柄 );

现在��它们与传递到 CreateRemoteThread 的线�E�例�E�——ThreadProc 的声明进行比较�?/p>
DWORD WINAPI ThreadProc( LPVOID lpParameter // �U�程数据 );

你可以看刎ͼ�所有函数都使用相同的调用规范�ƈ都接�?32位参敎ͼ��q�回值的大小都相同。也��是��_��我们可以传递一个指针到LoadLibrary/FreeLibrary 作�ؓ�?CreateRemoteThread 的线�E�例�E�。但�q�里有两个问题，��L��下面对CreateRemoteThread 的描�q�ͼ�

CreateRemoteThread �?lpStartAddress 参数必须表示�q�程�q�程中线�E�例�E�的开始地址�?
如果传递到 ThreadFunc 的参数lpParameter——被解释为常规的 32位��|��FreeLibrary��它解释��Z��?HMODULE�Q�，一切OK。但是，如果 lpParameter 被解释�ؓ一个指针（LoadLibraryA��它解释��Z��个串指针�Q�。它必须指向�q�程�q�程的某些数据�?

　　�W�一个问题实际上是由它自��p��决的。LoadLibrary �?FreeLibray 两个函数都在 kernel32.dll 中。因为必��M��证kernel32存在�q�且在每�?#8220;常规”�q�程中的加蝲地址要相同，LoadLibrary/FreeLibray 的地址在每个进�E�中的地址要相同，�q�就保证了有效的指针被传递到�q�程�q�程�?br>　　�W�二个问题也很容易解冟뀂只要通过 WriteProcessMemory ��?DLL 模块名（LoadLibrary需要的DLL模块名）拯��到远�E�进�E�即可�?/p>
所以，��Z��使用CreateRemoteThread �?LoadLibrary 技术，需要按照下列步骤来做：

获取�q�程�q�程�Q�OpenProcess�Q�的 HANDLE�Q?
��E�进�E�中�?DLL名分配内存（VirtualAllocEx�Q�；
��?DLL 名，包含全�\径名�Q�写入分配的内存�Q�WriteProcessMemory�Q�；
�?CreateRemoteThread �?LoadLibrary. ��你的DLL映射到远�E�进�E�；
�{�待直到�U�程�l�止�Q�WaitForSingleObject�Q�，也就是说直到 LoadLibrary 调用�q�回。另一�U�方法是�Q�一�?DllMain�Q�用DLL_PROCESS_ATTACH调用�Q�返回，�U�程��׃��l�止�Q?
获取�q�程�U�程的退��Z��码（GetExitCodeThread�Q�。注意这是一�?LoadLibrary �q�回的��|��因此是所映射 DLL 的基地址�Q�HMODULE�Q��?br>在第二步中释攑ֈ�配的地址�Q�VirtualFreeEx�Q�；
�?CreateRemoteThread �?FreeLibrary从远�E�进�E�中卸蝲 DLL。传递在�W�六步获取的 HMODULE 句柄�?FreeLibrary�Q�通过 CreateRemoteThread 的lpParameter参数�Q�；
注意�Q�如果你注入�?DLL 产生��M��新的�U�程�Q�一定要在卸载DLL 之前��它们都�l�止掉；
�{�待直到�U�程�l�止�Q�WaitForSingleObject�Q�；

　　此外�Q�处理完成后不要忘了关闭所有句柄，包括在第四步和第八步创徏的两个线�E�以及在�W�一步获取的�q�程�U�程句柄。现在让我们看一�?LibSpy 的部分代码，��Z��单�v见，上述步骤的实现细节中的错误处理以�?UNICODE 支持部分被略掉�?

HANDLE hThread; char szLibPath[_MAX_PATH]; // “LibSpy.dll”模块的名�U?(包括全�\�?; void* pLibRemote; // �q�程�q�程中的地址�Q�szLibPath ��被拯��到此�? DWORD hLibModule; // 要加载的模块的基地址�Q�HMODULE�Q? HMODULE hKernel32 = ::GetModuleHandle("Kernel32"); // 初始化szLibPath //... // 1. 在远�E�进�E�中为szLibPath 分配内存 // 2. ��szLibPath 写入分配的内�? pLibRemote = ::VirtualAllocEx( hProcess, NULL, sizeof(szLibPath), MEM_COMMIT, PAGE_READWRITE ); ::WriteProcessMemory( hProcess, pLibRemote, (void*)szLibPath, sizeof(szLibPath), NULL ); // ��?LibSpy.dll" 加蝲到远�E�进�E�（使用CreateRemoteThread �?LoadLibrary�Q? hThread = ::CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE) ::GetProcAddress( hKernel32, "LoadLibraryA" ), pLibRemote, 0, NULL ); ::WaitForSingleObject( hThread, INFINITE ); // 获取所加蝲的模块的句柄 ::GetExitCodeThread( hThread, &hLibModule ); // 清除 ::CloseHandle( hThread ); ::VirtualFreeEx( hProcess, pLibRemote, sizeof(szLibPath), MEM_RELEASE );
　假设我们实际惌��注入的代码——SendMessage ——被攑֜�DllMain (DLL_PROCESS_ATTACH)中，现在它已�l�被执行。那么现在应该从目标�q�程中将DLL 卸蝲�Q?
// 从目标进�E�中卸蝲"LibSpy.dll" (使用 CreateRemoteThread �?FreeLibrary) hThread = ::CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE) ::GetProcAddress( hKernel32, "FreeLibrary" ), (void*)hLibModule, 0, NULL ); ::WaitForSingleObject( hThread, INFINITE ); // 清除 ::CloseHandle( hThread );
�q�程间通信

　　到目前�ؓ止，我们只讨��Z��关于如何��DLL 注入到远�E�进�E�的内容�Q�但是，在大多数情况下，注入�?DLL 都需要与原应用程序进行某�U�方式的通信�Q�回想一下，我们的DLL是被映射到某个远�E�进�E�的地址�I�间里了�Q�不是在本地应用�E�序的地址�I�间中）。比如秘密侦��程序，DLL必须要知道实际包含密码的控�g句柄�Q�显�Ӟ��~�译时无法将�q�个��D��行硬�~�码。同��P��一旦DLL获得了秘密，它必��d��它发送回原应用程序，以便能正��显�C�出来�?br>　　�q�运的是�Q�有许多�Ҏ��处理�q�个问题�Q�文件映��，WM_COPYDATA�Q�剪贴板以及很简单的 #pragma data_seg �׃�n数据�D늭��Q�本文我不打��用这些技术，因�ؓMSDN�Q?#8220;�q�程间通信”部分�Q�以及其它渠道可以找到很多文档参考。不�q�我�?LibSpy例子中还是��用了 #pragma data_seg。细节请参�?LibSpy 源代码�?
�W�三部分�Q?a name=CreateRemoteThread_和_WriteProcessMemory_技�?CreateRemoteThread �?WriteProcessMemory 技�?/a>

范例�E�序——WinSpy

　　另外一个将代码拯��到另一个进�E�地址�I�间�q�在该进�E�上下文中执行的�Ҏ��是��用远�E�线�E�和 WriteProcessMemory API。这�U�方法不用编写单独的DLL�Q�而是�?WriteProcessMemory 直接��代码拷贝到�q�程�q�程——然后用 CreateRemoteThread 启动它执行。先来看�?CreateRemoteThread 的声明：

HANDLE CreateRemoteThread( HANDLE hProcess, // 传入创徏新线�E�的�q�程句柄 LPSECURITY_ATTRIBUTES lpThreadAttributes, // 安全属性指�? DWORD dwStackSize, // 字节为单位的初始�U�程堆栈 LPTHREAD_START_ROUTINE lpStartAddress, // 指向�U�程函数的指�? LPVOID lpParameter, // 新线�E��用的参数 DWORD dwCreationFlags, // 创徏标志 LPDWORD lpThreadId // 指向�q�回的线�E�ID );
如果你比较它�?CreateThread�Q�MSDN�Q�的声明�Q�你会注意到如下的差别：

�?CreateRemoteThread中，hProcess是额外的一个参敎ͼ�一个进�E�句柄，新线�E�就是在�q�个�q�程中创建的�Q?
�?CreateRemoteThread中，lpStartAddress 表示的是在远�E�进�E�地址�I�间中的�U�程起始地址。线�E�函数必��要存在于远�E�进�E�中�Q�所以我们不能简单地传递一个指针到本地�?ThreadFunc。必��d��先拷贝代码到�q�程�q�程�Q?
同样�Q�lpParameter 指向的数据也必须要存在于�q�程�q�程�Q�所以也得将它拷贝到那�?

�l�g��所�q�ͼ�我们得按照如下的步骤来做�Q?/p>

获取一个远�E�进�E�的HANDLE (OpenProces) �Q?
在远�E�进�E�地址�I�间中�ؓ注入的数据分配内存（VirtualAllocEx�Q�；
��初始的 INDATA 数据�l�构的一个拷贝写入分配的内存中（WriteProcessMemory�Q�；
在远�E�进�E�地址�I�间中�ؓ注入的代码分配内存；
��?ThreadFunc 的一个拷贝写入分配的内存�Q?
�?CreateRemoteThread启动�q�程�?ThreadFunc 拯��Q?
�{�待�q�程�U�程�l�止�Q�WaitForSingleObject�Q�；
获取�q�程来自�q�程�q�程的结果（ReadProcessMemory �?GetExitCodeThread�Q�；
释放在第二步和第四步中分配的内存�Q�VirtualFreeEx�Q�；
关闭在第六步和第一步获取的句柄�Q�CloseHandle�Q�；

ThreadFunc 必须要遵循的原则�Q?/p>

除了kernel32.dll 和user32.dll 中的函数之外�Q�ThreadFunc 不要调用��M��其它函数�Q�只�?kernel32.dll 和user32.dll被保证在本地和目标进�E�中的加载地址相同�Q�注意，user32.dll�q�不是被映射到每�?Win32 的进�E�）。如果你需要来自其它库中的函数�Q�将LoadLibrary �?GetProcAddress 的地址传给注入的代码，然后放手让它自己��d��。如果映��到目标�q�程中的DLL有冲�H�，你也可以�?GetModuleHandle 来代�?LoadLibrary�?br>　　同样�Q�如果你惛_�� ThreadFunc 中调用自��q��子例�E�，要单独把每个例程的代码拷贝到�q�程�q�程�q�用 INJDATA�?ThreadFunc 提供代码的地址�?
不要使用静态字�W�串�Q�而要�?INJDATA 来传递所有字�W�串。之所以要�q�样�Q�是因�ؓ�~�译器将静态字�W�串攑֜�可执行程序的“数据�D?#8221;中，可是引用�Q�指针）是保留在代码中的。那么，�q�程�q�程中ThreadFunc 的拷贝指向的内容在远�E�进�E�的地址�I�间中是不存在的�?
��L�� /GZ �~�译器开养I��它在调试版本中是默认讄��的�?
��?ThreadFunc �?AfterThreadFunc 声明为静态类型，或者不启用增量链接�?
ThreadFunc 中的局部变量一定不能超�q�一��（也就�?4KB�Q��?br>注意在调试版本中4KB的空间有大约10个字节是用于内部变量的�?
如果你有一个开兌��句块大于3个case 语句�Q�将它们像下面这��h��分开�Q?
switch( expression ) { case constant1: statement1; goto END; case constant2: statement2; goto END; case constant3: statement2; goto END; } switch( expression ) { case constant4: statement4; goto END; case constant5: statement5; goto END; case constant6: statement6; goto END; } END:
或者将它们修改成一�?if-else if �l�构语句�Q�参见附录E�Q��?

　　如果你没有按照这些规则来做，目标�q�程很可能会崩溃。所以务必牢记。在目标�q�程中不要假设�Q何事情都会像在本地进�E�中那样 �Q�参见附录F�Q��?
GetWindowTextRemote(A/W)
要想�?#8220;�q�程”�~�辑框获得密码，你需要做的就是将所有功能都��装在GetWindowTextRemot(A/W):中�?/p>
int GetWindowTextRemoteA( HANDLE hProcess, HWND hWnd, LPSTR lpString ); int GetWindowTextRemoteW( HANDLE hProcess, HWND hWnd, LPWSTR lpString ); 参数说明�Q? hProcess�Q�编辑框控�g所属的�q�程句柄�Q? hWnd�Q�包含密码的�~�辑框控件句柄； lpString�Q�接收文本的�~�冲指针�Q? �q�回��|��q�回值是拯��的字�W�数�Q?/pre>
　　下面让我们看看它的部分代码——尤其是注入数据的代码——以便明�?GetWindowTextRemote 的工作原理。此处�ؓ��单�v见，略掉�?UNICODE 支持部分�?/p>
INJDATA typedef LRESULT (WINAPI *SENDMESSAGE)(HWND,UINT,WPARAM,LPARAM); typedef struct { HWND hwnd; // �~�辑框句�? SENDMESSAGE fnSendMessage; // 指向user32.dll �?SendMessageA 的指�? char psText[128]; // 接收密码的缓�? } INJDATA;

　　INJDATA 是一个被注入到远�E�进�E�的数据�l�构。但在注入之前，�l�构中指�?SendMessageA 的指针是在本地应用程序中初始化的。因为对于每个��用user32.dll的进�E�来��_��user32.dll��L��被映��到相同的地址�Q�因此，SendMessageA 的地址也肯定是相同的。这��׃��证了被传递到�q�程�q�程的是一个有效的指针�?br>
ThreadFunc函数

static DWORD WINAPI ThreadFunc (INJDATA *pData) { pData->fnSendMessage( pData->hwnd, WM_GETTEXT, // Get password sizeof(pData->psText), (LPARAM)pData->psText ); return 0; } // 该函数在ThreadFunc之后标记内存地址 // int cbCodeSize = (PBYTE) AfterThreadFunc - (PBYTE) ThreadFunc. static void AfterThreadFunc (void) { }

ThradFunc 是被�q�程�U�程执行的代码�?/p>

注释�Q�注意AfterThreadFunc 是如何计��?ThreadFunc 大小的。通常�q�样做�ƈ不是一个好办法�Q�因为链接器可以随意更改函数的顺序（也就是说ThreadFunc可能被放�?AfterThreadFunc之后�Q�。这一点你可以在小��目中很好地保证函数的顺序是预先设想好的�Q�比�?WinSpy �E�序。在必要的情况下�Q�你�q�可以��?/ORDER 链接器选项来解军_��数链接顺序问题。或者用反汇�~�确�?ThreadFunc 函数的大��?

如何使用该技术子�c�d��q�程控�g
范例�E�序——InjectEx

下面我们��讨��Z��些更复杂的内容，如何子类化属于另一个进�E�的控�g�?br>
首先�Q�你得拷贝两个函数到�q�程�q�程来完成此��d��

ThreadFunc实际上是通过 SetWindowLong子类化远�E�进�E�中的控�Ӟ��
NewProc是子�c�d��控�g的新�H�口�q�程�Q?

　　�q�里主要的问题是如何��数据传到远�E�窗口过�E?NewProc�Q�因�?NewProc 是一个回调函敎ͼ�它必��遵循特定的规范和原则，我们不能��单地在参��C��传�?INJDATA指针。幸�q�的是我扑ֈ�了有两个�Ҏ��来解册��个问题，只不�q�要借助汇编语言�Q�所以不要忽略了汇编�Q�关键时候它是很有用的！

�Ҏ��一�Q?/p>
如下图所�C�：

　　在远�E�进�E�中�Q�INJDATA 被放在NewProc 之前�Q�这�?NewProc 在编译时便知�?INJDATA 在远�E�进�E�地址�I�间中的内存位置。更��切地说�Q�它知道相对于其自��n位置�?INJDATA 的地址�Q�我们需要所有这些信息。下面是 NewProc 的代码：

static LRESULT CALLBACK NewProc( HWND hwnd, // �H�口句柄 UINT uMsg, // 消息标示�W? WPARAM wParam, // �W�一个消息参�? LPARAM lParam ) // �W�二个消息参�? { INJDATA* pData = (INJDATA*) NewProc; // pData 指向 NewProc pData--; // 现在pData 指向INJDATA; // 回想一下INJDATA 被置于远�E�进�E�NewProc之前; //----------------------------- // 此处是子�c�d��代码 // ........ //----------------------------- // 调用原窗口过�E? // fnOldProc (由SetWindowLong �q�回) 被（�q�程�Q�ThreadFunc初始�? // �q�被保存在（�q�程�Q�INJDATA;�? return pData->fnCallWindowProc( pData->fnOldProc, hwnd,uMsg,wParam,lParam ); }
但这里还有一个问题，见第一行代码：
INJDATA* pData = (INJDATA*) NewProc;

　　�q�种方式 pData得到的是��编码��|��在我们的�q�程中是�?NewProc 的内存地址�Q�。这不是我们十分惌��的。在�q�程�q�程中，NewProc “当前”拯��的内存地址与它被移到的实际位置是无关的�Q�换句话��_��我们会需要某�U�类型的“this 指针”�?br>虽然�?C/C++ 无法解决�q�个问题�Q�但借助内联汇编可以解决�Q�下面是�?NewProc的修改：

static LRESULT CALLBACK NewProc( HWND hwnd, // �H�口句柄 UINT uMsg, // 消息标示�W? WPARAM wParam, // �W�一个消息参�? LPARAM lParam ) // �W�二个消息参�? { // 计算INJDATA �l�构的位�|? // 在远�E�进�E�中��C��q�个INJDATA // 被放在NewProc之前 INJDATA* pData; _asm { call dummy dummy: pop ecx // <- ECX 包含当前的EIP sub ecx, 9 // <- ECX 包含NewProc的地址 mov pData, ecx } pData--; //----------------------------- // 此处是子�c�d��代码 // ........ //----------------------------- // 调用原来的窗口过�E? return pData->fnCallWindowProc( pData->fnOldProc, hwnd,uMsg,wParam,lParam ); }
　　那么�Q�接下来该怎么办呢�Q�事实上�Q�每个进�E�都有一个特�D�的寄存器，它指向下一条要执行的指令的内存位置。即所谓的指��o指针�Q�在32�?Intel �?AMD 处理器上被表�C�Zؓ EIP。因�?EIP是一个专用寄存器�Q�你无法象操作一般常规存储器�Q�如�Q�EAX�Q�EBX�{�）那样通过�~�程存取它。也��是说没有操作代码来��d�� EIP�Q�以便直接读取或修改其内宏V��但是，EIP 仍然�q�是可以通过间接�Ҏ��修改的（�q�且随时可以修改�Q�，通过JMP�Q�CALL和RET�q�些指��o实现。下面我们就通过例子来解释通过 CALL/RET 子例�E�调用机制在32�?Intel �?AMD 处理器上是如何工作的�?
　　当你调用�Q�通过 CALL�Q�某个子例程�Ӟ��子例�E�的地址被加载到 EIP�Q�但即便是在 EIP杯修改之前，其旧的那个��D��自动PUSH到堆栈（被用于后面作为指令指针返回）。在子例�E�执行完�Ӟ��RET 指��o自动��堆栈顶POP�?EIP�?br>　　现在你知道了如何通过 CALL �?RET 实现 EIP 的修改，但如何获取其当前的值呢�Q�下面就来解册��个问题，前面讲过�Q�CALL PUSH EIP 到堆栈，所以，��Z��获取其当前��|��调用“哑函�?#8221;�Q�然后再POP堆栈��。让我们用编译后�?NewProc 来解释这个窍门�?
Address OpCode/Params Decoded instruction -------------------------------------------------- :00401000 55 push ebp ; entry point of ; NewProc :00401001 8BEC mov ebp, esp :00401003 51 push ecx :00401004 E800000000 call 00401009 ; *a* call dummy :00401009 59 pop ecx ; *b* :0040100A 83E909 sub ecx, 00000009 ; *c* :0040100D 894DFC mov [ebp-04], ecx ; mov pData, ECX :00401010 8B45FC mov eax, [ebp-04] :00401013 83E814 sub eax, 00000014 ; pData--; ..... ..... :0040102D 8BE5 mov esp, ebp :0040102F 5D pop ebp :00401030 C21000 ret 0010

哑函数调用；��是JUMP��C��一个指令�ƈPUSH EIP到堆栈；
然后��堆栈顶POP�?ECX�Q�ECX再保存EIP�Q�这也是 POP EIP指��o的真正地址�Q?
注意 NewProc 的入口点�?“POP ECX”之间�?#8220;距离”�? 个字节；因此��Z��计算 NewProc的地址�Q�要�?ECX �?�?

　　�q�样一来，不管 NewProc 被移��C��么地方，它总能计算出其自己的地址。但是，NewProc 的入口点�?“POP ECX”之间的距��d��能会随着你对�~�译/链接选项的改变而变化，由此造成 RELEASE和DEBUG版本之间也会有差别。但关键是你仍然��切地知道编译时的倹{�?/p>

首先�Q�编译函�?
用反汇编��定正确的距��?
最后，用正��的距离值重新编�?

此即�?InjecEx 中��用的解决�Ҏ��Q�类��g�� HookInjEx�Q�交换鼠标点�?#8220;开�?#8221;左右键时的功能�?br>
�Ҏ��二：
对于我们的问题，在远�E�进�E�地址�I�间中将 INJDATA 攑֜� NewProc 前面不是唯一的解军_��法。看下面 NewProc的变异版本：

static LRESULT CALLBACK NewProc( HWND hwnd, // �H�口句柄 UINT uMsg, // 消息标示�W? WPARAM wParam, // �W�一个消息参�? LPARAM lParam ) // �W�二个消息参�? { INJDATA* pData = 0xA0B0C0D0; // 虚构�? //----------------------------- // 子类化代�? // ........ //----------------------------- // 调用原来的窗口过�E? return pData->fnCallWindowProc( pData->fnOldProc, hwnd,uMsg,wParam,lParam ); }
　　此处 0xA0B0C0D0 只是�q�程�q�程地址�I�间中真实（�l�对�Q�INJDATA地址的占位符。前面讲�q�，你无法在�~�译时知道该地址。但你可以在调用 VirtualAllocEx �Q��ؓINJDATA�Q�之后得�?INJDATA 在远�E�进�E�中的位�|�。编译我们的 NewProc 后，可以得到如下�l�果�Q?
Address OpCode/Params Decoded instruction -------------------------------------------------- :00401000 55 push ebp :00401001 8BEC mov ebp, esp :00401003 C745FCD0C0B0A0 mov [ebp-04], A0B0C0D0 :0040100A ... .... :0040102D 8BE5 mov esp, ebp :0040102F 5D pop ebp :00401030 C21000 ret 0010
因此�Q�其�~�译的代码（十六�q�制�Q�将是：
558BECC745FCD0C0B0A0......8BE55DC21000.
现在你可以象下面�q�样�l�箋�Q?

��INJDATA�Q�ThreadFunc和NewProc 拯��到目标进�E�；
修改 NewProc 的代码，以便 pData 中保存的�?INJDATA 的真实地址�?br>例如�Q�假�?INJDATA 的地址�Q�VirtualAllocEx�q�回的��|��在目标进�E�中�?0x008a0000。然后象下面�q�样修改NewProc的代码：
558BECC745FCD0C0B0A0......8BE55DC21000 <- 原来的NewProc �Q�注1�Q? 558BECC745FC00008A00......8BE55DC21000 <- 修改后的NewProc�Q��用的是INJDATA的实际地址�?/pre> 也就是说�Q�你用真正的 INJDATA�Q�注2�Q?地址替代了虚拟�?A0B0C0D0�Q�注2�Q��?

开始执行远�E�的 ThreadFunc�Q�它负责子类化远�E�进�E�中的控件�?br>

�?、有人可能会问，��Z��么地址 A0B0C0D0 �?008a0000 在编译时��序是相反的。因�?Intel �?AMD 处理器��?little-endian �W�号来表�C�（多字节）数据。换句话��_��某个数字的低位字节被存储在内存的最��地址处，而高位字节被存储在最高位地址�?br>假设“UNIX”�q�个词存储用4个字节，�?big-endian �pȝ��中，它被存�ؓ“UNIX”�Q�在 little-endian �pȝ��中，它将被存�?#8220;XINU”�?
�?、某些破解（很糟�Q�以�c�M��的方式修改可执行代码�Q�但是一旦加载到内存�Q�一个程序是无法修改自己的代码的�Q�代码驻留在可执行程序的“.text” 区域�Q�这个区域是写保护的�Q�。但仍可以修改远�E�的 NewProc�Q�因为它是先前以 PAGE_EXECUTE_READWRITE 许可方式被拷贝到某个内存块中的�?

　　与其它方法比较，使用 CreateRemoteThread �?WriteProcessMemory 技术进行代码注入更灉|��Q�这�U�方法不需要额外的 dll�Q�不�q�的是，该方法更复杂�q�且风险更大�Q�只要ThreadFunc出现哪怕一丁点错误�Q�很�Ҏ��p��Q��ƈ且最大可能地会）使远�E�进�E�崩溃（参见附录 F�Q�，因�ؓ调试�q�程 ThreadFunc ��是一个可怕的梦魇�Q�只有在注入的指令数很少�Ӟ��你才应该考虑使用�q�种技术进行注入，对于大块的代码注入，最好用 I.和II 部分讨论的方法�?br>
WinSpy 以及 InjectEx 请从�q�里下蝲源代�?/font>�?/p>

到目前�ؓ止，有几个问题是我们未提及的�Q�现�ȝ��如下�Q?/p>

解决�Ҏ�� OS �q�程

I、Hooks Win9x �?WinNT 仅仅�?USER32.DLL �Q�注3�Q�链接的�q�程

II、CreateRemoteThread & LoadLibrary �?WinNT�Q�注4�Q?/td> 所有进�E�（�?�Q? 包括�pȝ��服务�Q�注6�Q?/td>

III、CreateRemoteThread & WriteProcessMemory
　 �?WinNT 所有进�E? 包括�pȝ��服务

�?�Q�显�Ӟ��你无法hook一个没有消息队列的�U�程�Q�此外，SetWindowsHookEx不能与系�l�服务一起工作，即��它们�?USER32.DLL �q�行链接�Q?
�?�Q�Win9x 中没�?CreateRemoteThread�Q�也没有 VirtualAllocEx �Q�实际上�Q�在Win9x 中可以仿真，但不是本文讨论的问题了）�Q?
�?�Q�所有进�E?= 所�?Win32 �q�程 + csrss.exe
本地应用 �Q�smss.exe, os2ss.exe, autochk.exe �{�）不��?Win32 API�Q�所以也不会�?kernel32.dll 链接。唯一一个例外是 csrss.exe�Q�Win32 子系�l�本�w�，它是本地应用�E�序�Q�但其某些库�Q�~winsrv.dll�Q�需�?Win32 DLLs�Q�包�?kernel32.dll�Q?
�?�Q�如果你惌��代码注入到�pȝ��服务中（lsass.exe, services.exe, winlogon.exe �{�）或csrss.exe�Q�在打开�q�程句柄�Q�OpenProcess�Q�之前，��你的进�E�优先��|��ؓ “SeDebugPrivilege”�Q�AdjustTokenPrivileges�Q��?

　　最后，有几件事情一定要了然于心�Q�你的注入代码很�Ҏ��摧毁目标�q�程�Q�尤其是注入代码本��n出错的时候，所以要��C��Q�权力带来责任！
　　因�ؓ本文中的许多例子是关于密码的�Q�你也许�q�读�q?Zhefu Zhang 写的另外一��文�?#8220;Super Password Spy++” �Q�在该文中，他解释了如何获取IE 密码框中的内容，此外�Q�他�q�示范了如何保护你的密码控�g免受�c�M��的攻凅R�?/p>
附录A�Q?/p>
��Z��?kernel32.dll 和user32.dll ��L��被映��到相同的地址�?br>
　　我的假定�Q�因为Microsoft 的程序员认�ؓ�q�样做有助于速度优化�Q��ؓ什么呢�Q�我的解释是——通常一个可执行�E�序是由几个部分�l�成�Q�其中包�?#8220;.reloc” 。当链接器创�?EXE 或�?DLL文�g�Ӟ��它对文�g被映��到哪个内存地址做了一个假设。这��是所谓的首选加�?基地址。在映像文�g中所有绝对地址都是��Z��链接器首选的加蝲地址�Q�如果由于某�U�原因，映像文�g没有被加载到该地址�Q�那么这�?#8220;.reloc”��p�v作用了，它包含映像文件中的所有地址的清单，�q�个清单中的地址反映了链接器首选加载地址和实际加载地址的差别（无论如何�Q�要注意�~�译器��生的大多数指令��用某�U�相对地址��d��Q�因此，�q�没有你惌��的那么多地址可供重新分配�Q�，另一斚w��Q�如果加载器能够按照链接器首选地址加蝲映像文�g�Q�那�?#8220;.reloc”��p��完全忽略掉了�?br>　　但kernel32.dll 和user32.dll 及其加蝲地址��Z��要以�q�种方式加蝲呢？因�ؓ每一�?Win32 �E�序都需要kernel32.dll�Q��ƈ且大多数Win32 �E�序也需�?user32.dll�Q�那么��L��它们（kernel32.dll 和user32.dll�Q�映��到首选地址可以改进所有可执行�E�序的加载时间。这样一来，加蝲器绝不能修改kernel32.dll and user32.dll.中的��M��Q�绝对）地址。我们用下面的例子来说明�Q?br>　　��某个应用程�?App.exe 的映像基地址讄��?KERNEL32的地址�Q?base:"0x77e80000"�Q�或 USER32的首选基地址�Q?base:"0x77e10000"�Q�，如果 App.exe 不是�?USER32 导入方式来��?USER32�Q�而是通过LoadLibrary 加蝲�Q�那么编译�ƈ�q�行App.exe 后，会报出错误信息（"Illegal System DLL Relocation"——非法系�l�DLL地址重分配）�Q�App.exe 加蝲��p�|�?br>��Z��么会�q�样呢？当创��E�时�Q�Win 2000、Win XP 和Win 2003�pȝ��的加载器要检�?kernel32.dll 和user32.dll 是否被映��到首选基地址�Q�实际上�Q�它们的名字都被��编码进了加载器�Q�，如果没有被加载到首选基地址�Q�将发出错误。在 WinNT4中，也会��查ole32.dll�Q�在WinNT 3.51 和较低版本的Windows中，�׃��不会做这��L��查，所以kernel32.dll 和user32.dll可以被加载�Q何地斏V��只有ntdll.dll��L��被加载到其基地址�Q�加载器不进行检查，一旦ntdll.dll没有在其基地址�Q�进�E�就无法创徏�?br>
��M��Q�对�?WinNT 4 和较高的版本�?/p>

一定要被加载到基地址的DLLs 有：kernel32.dll、user32.dll 和ntdll.dll�Q?
每个Win32 �E�序都要使用�?DLLs+ csrss.exe�Q�kernel32.dll 和ntdll.dll�Q?
每个�q�程都要使用的DLL只有一个，即��是本地应用：ntdll.dll�Q?

附录B�Q?/p>
/GZ �~�译器开�?/p>
　　在生�?Debug 版本�Ӟ��/GZ �~�译器特性是默认打开的。你可以用它来捕��h��些错误（具体�l�节请参考相��x��档）。但�Ҏ��们的可执行程序意味着什么呢�Q?br>　　当打开 /GZ 开养I��~�译器会��d��一些额外的代码到可执行�E�序中每个函数所在的地方�Q�包括一个函数调用（被加到每个函数的最后）——检查已�l�被我们的函��C��改的 ESP堆栈指针。什么！��N��有一个函数调用被��d��?ThreadFunc 吗？那将��D��N��。ThreadFunc 的远�E�拷贝将调用一个在�q�程�q�程中不存在的函敎ͼ�臛_��是在相同的地址�I�间中不存在�Q?/p> 附录C�Q?

静态函数和增量链接

　　增量链接主要作用是在生成应用�E�序时羃短链接时间。常规链接和增量链接的可执行�E�序之间的差别是——增量链接时�Q�每个函数调用经�׃��个额外的JMP指��o�Q�该指��o由链接器发出�Q�该规则的一个例外是函数声明为静态）。这�?JMP 指��o允许链接器在内存中移动函敎ͼ��q�种�U�d��无需修改引用函数�?CALL指��o。但�q�些JMP指��o也确实导致了一些问题：�?ThreadFunc �?AfterThreadFunc ��指向JMP指��o而不是实际的代码。所以当计算ThreadFunc 的大��时�Q?

const int cbCodeSize = ((LPBYTE) AfterThreadFunc - (LPBYTE) ThreadFunc)
　　你实际上计算的是指向 ThreadFunc 的JMPs 和AfterThreadFunc之间�?#8220;距离” �Q�通常它们会紧挨着�Q�不用考虑距离问题�Q�。现在假�?ThreadFunc 的地址位于004014C0 而伴随的 JMP指��o位于 00401020�?
:00401020 jmp 004014C0 ... :004014C0 push EBP ; ThreadFunc 的实际地址 :004014C1 mov EBP, ESP ...
那么
WriteProcessMemory( .., &ThreadFunc, cbCodeSize, ..);
　　��拷�?#8220;JMP 004014C0”指��o�Q�以及随后cbCodeSize范围内的所有指令）到远�E�进�E�——不是实际的 ThreadFunc。远�E�进�E�要执行的第一件事情将�?#8220;JMP 004014C0” 。它��会在其最后几条指令当中——远�E�进�E�和所有进�E�均如此。但 JMP指��o的这�?#8220;规则”也有例外。如果某个函数被声明为静态的�Q�它��会被直接调用，即��增量链接也是如此。这��是��Z��么规�?4要将 ThreadFunc �?AfterThreadFunc 声明为静态或��用增量链接的缘故。（有关增量链接的其它信息参�?Matt Pietrek的文�?#8220;Remove Fatty Deposits from Your Applications Using Our 32-bit Liposuction Tools” �Q?
附录D�Q?/p>
��Z��?ThreadFunc的局部变量只�?4k�Q?/p>
　　局部变量��L��存储在堆栈中�Q�如果某个函数有256个字节的局部变量，当进入该函数�Ӟ��堆栈指针��减��?56个字节（更精��地��_��在函数开始处�Q�。例如，下面�q�个函数�Q?

void Dummy(void) { BYTE var[256]; var[0] = 0; var[1] = 1; var[255] = 255; }
�~�译后的汇编如下�Q?
:00401000 push ebp :00401001 mov ebp, esp :00401003 sub esp, 00000100 ; change ESP as storage for ; local variables is needed :00401006 mov byte ptr [esp], 00 ; var[0] = 0; :0040100A mov byte ptr [esp+01], 01 ; var[1] = 1; :0040100F mov byte ptr [esp+FF], FF ; var[255] = 255; :00401017 mov esp, ebp ; restore stack pointer :00401019 pop ebp :0040101A ret
　　注意上述例子中，堆栈指针是如何被修改的？而如果某个函数需�?KB以上局部变量内存空间又会怎么样呢�Q�其实，堆栈指针�q�不是被直接修改�Q�而是通过另一个函数调用来修改的。就是这个额外的函数调用使得我们�?ThreadFunc “被破�?#8221;了，因�ؓ其远�E�拷贝会调用一个不存在的东�ѝ�?br>　　我们看看文��中对堆栈探测�?/Gs�~�译器选项是怎么说的�Q?br>—�?#8220;/GS是一个控制堆栈探��的高��Ҏ��，堆栈探测是一�p�d��~�译器插入到每个函数调用的代码。当函数被激�z�L��Q�堆栈探��需要的内存�I�间来存储相兛_��数的局部变量�?br>　　如果函数需要的�I�间大于为局部变量分配的堆栈�I�间�Q�其堆栈探测被激�z�R��默认的大小是一个页面（�?0x86处理器上4kb�Q�。这个值允许在Win32 应用�E�序和Windows NT虚拟内存��理器之间进行�}慎调整以便增加运行时承诺�l�程序堆栈的内存�?#8221;
我确信有��Z��问：文��中的“……堆栈探测��C��块需要的内存�I�间来存储相兛_��数的局部变�?#8230;…”那些�~�译器选项�Q�它们的描述�Q�在你完全弄明白之前有时真的让�h气愤。例如，如果某个函数需�?2KB的局部变量存储空��_��堆栈内存��进行如下方式的分配�Q�更�_��地说�?#8220;承诺” �Q��?
sub esp, 0x1000 ; "分配" �W�一��?4 Kb test [esp], eax ; 承诺一个新��内存（如果�q�没有承诺） sub esp, 0x1000 ; "分配" �W�二��? Kb test [esp], eax ; ... sub esp, 0x1000 test [esp], eax
　　注意4KB堆栈指针是如何被修改的，更重要的是，每一步之后堆栈底是如何被“触及”�Q�要�l�过��查）。这样保证在“分配”�Q�承诺）另一��面之前�Q�当前页面承诺的范围也包含堆栈底�?
注意事项
　　“每一个线�E�到辑օ�自己的堆栈空��_��默认情况下，此空间由承诺的以及预留的内存�l�成�Q�每个线�E��?1 MB预留的内存，以及一��|��诺的内存�Q�系�l�将�Ҏ��需要从预留的堆栈内存中承诺一��内存区�?#8221; �Q�参�?MSDN CreateThread > dwStackSize > Thread Stack Size�Q?br>　　�q�应该清楚�ؓ什么有兟뀀/GS 的文��说在堆栈探针在 Win32 应用�E�序和Windows NT虚拟内存��理器之间进行�}慎调整�?br>
现在回到我们的ThreadFunc以及 4KB 限制
　　虽然你可以用 /Gs 防止调用堆栈探测例程�Q�但在文档对于这��L��做法�l�出了警告，此外�Q�文件描�q�可以用 #pragma check_stack 指��o关闭或打开堆栈探测。但是这个指令好像一点作用都没有�Q�要么这个文档是垃圾�Q�要么我疏忽了其它一些信息？�Q�。��M��Q�CreateRemoteThread �?WriteProcessMemory 技术只能用于注入小块代码，所以你的局部变量应该尽量少耗费一些内存字节，最好不要超�q?4KB限制�?/p> 附录E�Q?

��Z��么要��开兌��句拆分成三个以上?

用下面这个例子很�Ҏ��解释�q�个问题�Q�假设有如下�q�么一个函敎ͼ�

int Dummy( int arg1 ) { int ret =0; switch( arg1 ) { case 1: ret = 1; break; case 2: ret = 2; break; case 3: ret = 3; break; case 4: ret = 0xA0B0; break; } return ret; }
�~�译后变成下面这个样子：
地址操作�?参数解释后的指��o -------------------------------------------------- ; arg1 -> ECX :00401000 8B4C2404 mov ecx, dword ptr [esp+04] :00401004 33C0 xor eax, eax ; EAX = 0 :00401006 49 dec ecx ; ECX -- :00401007 83F903 cmp ecx, 00000003 :0040100A 771E ja 0040102A ; JMP 到表***中的地址之一 ; 注意 ECX 包含的偏�U? :0040100C FF248D2C104000 jmp dword ptr [4*ecx+0040102C] :00401013 B801000000 mov eax, 00000001 ; case 1: eax = 1; :00401018 C3 ret :00401019 B802000000 mov eax, 00000002 ; case 2: eax = 2; :0040101E C3 ret :0040101F B803000000 mov eax, 00000003 ; case 3: eax = 3; :00401024 C3 ret :00401025 B8B0A00000 mov eax, 0000A0B0 ; case 4: eax = 0xA0B0; :0040102A C3 ret :0040102B 90 nop ; 地址�?** :0040102C 13104000 DWORD 00401013 ; jump to case 1 :00401030 19104000 DWORD 00401019 ; jump to case 2 :00401034 1F104000 DWORD 0040101F ; jump to case 3 :00401038 25104000 DWORD 00401025 ; jump to case 4
注意如何实现�q�个开兌��句？

　　与其单独��查每个CASE语句�Q�不如创��Z��个地址表，然后通过��单地计算地址表的偏移量而蟩转到正确的CASE语句。这实际上是一�U�改�q�。假设你�?0个CASE语句。如果不使用上述的技巧，你得执行50��?CMP和JMP指��o来达到最后一个CASE。相反，有了地址表后�Q�你可以通过表查询蟩转到��M��CASE语句�Q�从计算机算法角度和旉��复杂度看�Q�我们用O(5)代替了O(2n)��法。其中：

O表示最坏的旉��复杂度；
我们假设需�?条指令来�q�行表查询计��偏�U�量�Q�最�l�蟩到相应的地址�Q?

　　现在�Q�你也许认�ؓ出现上述情况只是因�ؓCASE帔R��被有意选择��l�的�Q?�Q?�Q?�Q?�Q�。幸�q�的是，它的�q�个�Ҏ��可以应用于大多数现实例子中，只有偏移量的计算�E�微有些复杂。但有两个例外：

如果CASE语句��于�{�于三个�Q?
如果CASE 帔R��完全互不相关�Q�如�Q?#8220;"case 1” �Q?#8220;case 13” �Q?#8220;case 50” �Q?�?#8220;case 1000” �Q�；

　　昄��Q�单独判断每个的CASE帔R��的话�Q�结果代码繁琐耗时�Q�但使用CMP和JMP指��o则��得结果代码的执行��像普通的if-else 语句�?br>有趣的地方：如果你不明白CASE语句使用帔R��表达式的理由�Q�那么现在应该弄明白了吧。�ؓ了创建地址表，昄��在编译时��应该知道相兛_��址�?/p>
现在回到问题�Q?br>注意到地址 0040100C 处的JMP指��o了吗�Q�我们来看看Intel关于十六�q�制操作�?FF 的文档是怎么说的�Q?/p>
操作码　指��o 　　　　描述 FF /4 　JMP r/m32 　Jump near, absolute indirect, 　　　　　　　　　　　address given in r/m32

　　原来JMP 使用了一�U�绝对寻址方式�Q�也��是��_��它的操作敎ͼ�CASE语句中的 0040102C�Q�表�C�Z��个绝对地址。还用我说什么吗�Q�远�E?ThreadFunc 会盲目地认�ؓ地址表中开兛_��址�?0040102C�Q�JMP��C��个错误的地方�Q�造成�q�程�q�程崩溃�?
附录F�Q?

��Z��么远�E�进�E�会崩溃呢？

当远�E�进�E�崩溃时�Q�它��L��会因��Z��面这些原因：

在ThreadFunc 中引用了一个不存在的串�Q?
在在ThreadFunc �?中一个或多个指��o使用�l�对��d��Q�参见附录E�Q�；
ThreadFunc 调用某个不存在的函数�Q�该调用可能是编译器或链接器��d��的）。你在反汇编器中可以看到�q�样的情形：
:004014C0 push EBP ; ThreadFunc 的入口点 :004014C1 mov EBP, ESP ... :004014C5 call 0041550 ; �q�里��ɘq�程�q�程崩溃 ... :00401502 ret
如果 CALL 是由�~�译器添加的指��o�Q�因为某�?#8220;��忌” 开兛_��/GZ是打开的）�Q�它��被定位�?ThreadFunc 的开始的某个地方或者结��֤��?

　　不管哪种情况�Q�你都要��心��翼��C��?CreateRemoteThread �?WriteProcessMemory 技术。尤其要注意你的�~�译�?链接器选项�Q�一不小心它们就会在 ThreadFunc ��d��内容�?

深邃�?/a> 2010-09-16 14:06 发表评论

CreateRemoteThread

Thu, 16 Sep 2010 06:05:00 GMT

CreateRemoteThread提供了一个在�q�程�q�程中执行代码的�Ҏ��,��像代码长出��膀飞到别处�q�行。本文将做一个入门介�l�，希望对广大编�E�爱好者有所帮助�?

先解释一下远�E�进�E�，其实��是要植入你的代码的�q�程�Q�相对于你的工作�q�程�Q�如果叫本地�q�程的话�Q�它��叫�q�程�q�程�Q�可理解为宿丅R�?/p>
首先介绍一下我们的主要工具CreateRemoteThread�Q�这里先��函数原型简单介�l�以下�?/p>
CreateRemoteThread可将�U�程创徏在远�E�进�E�中�?/p>
函数原型
HANDLE CreateRemoteThread(
HANDLE hProcess,                          // handle to process
LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD
SIZE_T dwStackSize,                       // initial stack size
LPTHREAD_START_ROUTINE lpStartAddress,    // thread function
LPVOID lpParameter,                       // thread argument
DWORD dwCreationFlags,                    // creation option
LPDWORD lpThreadId                        // thread identifier
);
参数说明�Q?br>hProcess
[输入] �q�程句柄
lpThreadAttributes
[输入] �U�程安全描述字，指向SECURITY_ATTRIBUTES�l�构的指�?br>dwStackSize
[输入] �U�程栈大��，以字节表�C?br>lpStartAddress
[输入] 一个LPTHREAD_START_ROUTINE�c�d��的指针，指向在远�E�进�E�中执行的函数地址
lpParameter
[输入] 传入参数
dwCreationFlags
[输入] 创徏�U�程的其它标�?/p>
lpThreadId
[输出] �U�程�w�䆾标志�Q�如果�ؓNULL,则不�q�回

�q�回�?br>成功�q�回新线�E�句柄，��p�|�q�回NULL�Q��ƈ且可调用GetLastError获得错误倹{�?/p>
接下来我们将以两�U�方式��用CreateRemoteThread�Q�大家可以领略到CreateRemoteThread的神通，它��你的代码可以��q��你的�q�程�Q�植入到别的�q�程中运行�?/p>

�W�一�U�方�?

�W�一�U�方式，我们使用函数的�Ş式。即我们��自��q��序中的一个函数植入到�q�程�q�程中�?/p>
步骤1�Q�首先在你的�q�程中创建函数MyFunc�Q�我们将把它攑֜�另一个进�E�中�q�行�Q�这里以windows

计算器�ؓ目标�q�程�?br>static DWORD WINAPI MyFunc (LPVOID pData)
{
//do something
//...
//pData输入��可以是��M��c�d��?br>//�q�里我们会传入一个DWORD的值做�C�Z��Q��ƈ且简单返�?br>return *(DWORD*)pData;
}
static void AfterMyFunc (void) {
}
�q�里有个��技巧，定义了一个static void AfterMyFunc (void)�Q��ؓ了下面确定我们的代码大小

步骤2�Q�定位目标进�E�，�q�里是一个计��器
HWND hStart = ::FindWindow (TEXT("SciCalc"),NULL);

步骤3�Q�获得目标进�E�句柄，�q�里用到两个不太常用的函敎ͼ�当然如果�l�常做线�E?�q�程�{�方面的 ��目的话�Q�就很面熟了�Q�，但及有用
DWORD PID, TID;
TID = ::GetWindowThreadProcessId (hStart, &PID);

HANDLE hProcess;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,PID);

步骤4�Q�在目标�q�程中配变量地址�I�间�Q�这里我们分�?0个字节，�q�且讑֮�为可以读

写PAGE_READWRITE�Q�当然也可设为只�ȝ��其它标志�Q�这里就不一一说明了�?br>char szBuffer[10];
*(DWORD*)szBuffer=1000;//for test
void *pDataRemote =(char*) VirtualAllocEx( hProcess, 0, sizeof(szBuffer), MEM_COMMIT,

PAGE_READWRITE );

步骤5�Q�写内容到目标进�E�中分配的变量空�?br>::WriteProcessMemory( hProcess, pDataRemote, szBuffer,(sizeof(szBuffer),NULL);

步骤6�Q�在目标�q�程中分配代码地址�I�间
计算代码大小
DWORD cbCodeSize=((LPBYTE) AfterMyFunc - (LPBYTE) MyFunc);
分配代码地址�I�间
PDWORD pCodeRemote = (PDWORD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT,

PAGE_EXECUTE_READWRITE );

步骤7�Q�写内容到目标进�E�中分配的代码地址�I�间
WriteProcessMemory( hProcess, pCodeRemote, &MyFunc, cbCodeSize, NULL);

步骤8�Q�在目标�q�程中执行代�?/p>
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE) pCodeRemote,
pDataRemote, 0 , NULL);
DWORD h;
if (hThread)
{
::WaitForSingleObject( hThread, INFINITE );
::GetExitCodeThread( hThread, &h );
TRACE("run and return %d\n",h);
::CloseHandle( hThread );
}

�q�里有几个值得说明的地�?
使用WaitForSingleObject�{�待�U�程�l�束;
使用GetExitCodeThread获得�q�回��|��
最后关闭句柄CloseHandle�?/p>
步骤9�Q�清理现�?/p>
释放�I�间
::VirtualFreeEx( hProcess, pCodeRemote,
                 cbCodeSize,MEM_RELEASE );

::VirtualFreeEx( hProcess, pDataRemote,
                 cbParamSize,MEM_RELEASE );

关闭�q�程句柄
::CloseHandle( hProcess );

�W�二�U�方�?

�W�二�U�方式，我们使用动态库的�Ş式。即我们��自�׃��个动态库植入到远�E�进�E�中�?/p>
�q�里不再重复上面相同的步�?只写出其中关键的地方.
关键1:
在步�?中将动态库的�\径作为变量传入变量空�?
关键2:
在步�?�?��GetProcAddress作�ؓ目标执行函数.

hThread = ::CreateRemoteThread( hProcess, NULL, 0,
            (LPTHREAD_START_ROUTINE )::GetProcAddress(
             hModule, "LoadLibraryA"),
             pDataRemote, 0, NULL );

另外在步�?,清理现场中首先要先进行释放我们的动态库.也即�c�M��步骤8执行函数FreeLibrary

hThread = ::CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE )::GetProcAddress(
hModule, "FreeLibrary"),
(void*)hLibModule, 0, NULL );

好了,限于��幅不能够介�l�的很细,在��用过�E�中如有疑问可向作者咨�?�Q�开发环境：windows2000/vc6.0�Q?

本文来自CSDN博客�Q��{载请标明出处�Q?a >http://blog.csdn.net/fangchao918628/archive/2008/08/30/2852744.aspx

深邃�?/a> 2010-09-16 14:05 发表评论

dll #pragma data_seg 实现数据的共�?

Thu, 16 Sep 2010 02:25:00 GMT

#pragma data_seg("flag_data")
   int count=0;
#pragma data_seg()
#pragma comment(linker,"/SECTION:flag_data,RWS")
�q�种�Ҏ��只能在没有def文�g时��用，如果通过def文�g�q�行导出的话�Q�那么设�|�就要在def文�g内设�|�而不�?br>在代码里讄��了�?br>SETCTIONS
flag_data READ WRITE SHARED

在主文�g中，�?pragma data_seg建立一

个新的数据段�q�定义共享数据，其具体格式�ؓ�Q?

#pragma data_seg �Q?shareddata") //名称可以

//自己定义�Q�但必须与下面的一致�?

HWND sharedwnd=NULL;//�׃�n数据

#pragma data_seg()

仅定义一个数据段�q�不能达到共享数据的目的�Q�还要告诉编译器该段的属性，有两�U�方法可以实现该目的 �Q�其效果是相同的�Q�，一�U�方法是�?DEF文�g中加入如下语句： SETCTIONS shareddata READ WRITE SHARED 另一�U�方法是在项目设�|�链接选项(Project Setting --〉Link)中加入如下语句： /SECTION:shareddata,rws

�W�一点：什么是�׃�n数据�D�？��Z��么要用共享数据段�Q�？它有什么用途？�Q?
在Win16环境中，DLL的全局数据�Ҏ��个蝲入它的进�E�来说都是相同的�Q�而在Win32环境中，情况却发生了变化�Q�DLL函数中的代码所创徏的�Q何对象（包括变量�Q�都归调用它的线�E�或�q�程所有。当�q�程在蝲入DLL�Ӟ��操作�pȝ��自动把DLL地址映射到该�q�程的私有空��_��也就是进�E�的虚拟地址�I�间�Q�而且也复制该DLL的全局数据的一份拷贝到该进�E�空间。也��是说每个进�E�所拥有的相同的DLL的全局数据�Q�它们的名称相同�Q�但其值却�q�不一定是相同的，而且是互不干涉的�?

因此�Q�在Win32环境下要惛_��多个�q�程中共享数据，��必��进行必要的讄��。在讉K��同一个Dll的各�q�程之间�׃�n存储器是通过存储器映��文件技术实现的。也可以把这些需要共享的数据分离出来�Q�放�|�在一个独立的数据�D�里�Q��ƈ把该�D늚�属性设�|��ؓ�׃�n。必��ȝ��q�些变量赋初��|��否则�~�译器会把没有赋初始值的变量攑֜�一个叫未被初始化的数据�D�中�?

#pragma data_seg预处理指令用于设�|�共享数据段。例如：

#pragma data_seg("SharedDataName") HHOOK hHook=NULL; //必须在定义的同时�q�行初始�?!!!#pragma data_seg()

�?pragma data_seg("SharedDataName")�?pragma data_seg()之间的所有变量将被访问该Dll的所有进�E�看到和�׃�n。再加上一条指�?pragma comment(linker,"/section:.SharedDataName,rws"),[注意�Q�数据节的名�U�is case sensitive]那么�q�个数据节中的数据可以在所有DLL的实例之间共享。所有对�q�些数据的操作都针对同一个实例的�Q�而不是在每个�q�程的地址�I�间中都有一份�?

当进�E�隐式或昑ּ�调用一个动态库里的函数�Ӟ��pȝ��都要把这个动态库映射到这个进�E�的虚拟地址�I�间�?以下��U?地址�I�间")。这使得DLL成�ؓ�q�程的一部分�Q�以�q�个�q�程的��n份执行，使用�q�个�q�程的堆栈�?�q�项技术又叫code Injection技术，被广泛地应用在了病毒、黑客领域！呵呵^_^)

�W�二点：在具体��用共享数据段旉��要注意的一些问题！

Win32 DLLs are mapped into the address space of the calling process. By default, each process using a DLL has its own instance of all the DLLs global and static variables. (注意: 即��是全局变量和静态变量也都不是共享的!) If your DLL needs to share data with other instances of it loaded by other applications, you can use either of the following approaches:

· Create named data sections using the data_seg pragma.

· Use memory mapped files. See the Win32 documentation about memory mapped files.

Here is an example of using the data_seg pragma:

#pragma data_seg (".myseg")
int i = 0;
char a[32] = "hello world";
#pragma data_seg()

data_seg can be used to create a new named section (.myseg in this example). The most typical usage is to call the data segment .shared for clarity. You then must specify the correct sharing attributes for this new named data section in your .def file or with the linker option /SECTION:.MYSEC,RWS. (�q�个�~�译参数既可以��用pragma指��o来指定，也可以在VC的IDE中指定！)

There are restrictions to consider before using a shared data segment:

· Any variables in a shared data segment must be statically initialized. In the above example, i is initialized to 0 and a is 32 characters initialized to hello world.

· All shared variables are placed in the compiled DLL in the specified data segment. Very large arrays can result in very large DLLs. This is true of all initialized global variables.

· Never store process-specific information in a shared data segment. Most Win32 data structures or values (such as HANDLEs) are really valid only within the context of a single process.

· Each process gets its own address space. It is very important that pointers are never stored in a variable contained in a shared data segment. A pointer might be perfectly valid in one application but not in another.

· It is possible that the DLL itself could get loaded at a different address in the virtual address spaces of each process. It is not safe to have pointers to functions in the DLL or to other shared variables.

深邃�?/a> 2010-09-16 10:25 发表评论

#Pragma 指��o介绍

Thu, 16 Sep 2010 02:25:00 GMT

在所有的预处理指令中�Q?Pragma 指��o可能是最复杂的了�Q�它的作用是讑֮��~�译器的状态或者是指示�~�译器完成一些特定的动作�?pragma指��o�Ҏ��个编译器�l�出了一个方�?在保持与C和C ++语言完全兼容的情况下,�l�出��L��或操作系�l�专有的特征。依据定�?�~�译指示是机器或操作�pȝ��专有�?且对于每个编译器都是不同的�?/font>

其格式一般�ؓ: #Pragma Para
其中Para 为参敎ͼ�下面来看一些常用的参数�?/font>

(1)message 参数�?/font>

Message 参数是我最喜欢的一个参敎ͼ�它能够在�~�译信息输出�H�口中输出相应的信息�Q�这对于源代码信息的控制是非帔R��要的。其使用�Ҏ��为：
#Pragma message(“消息文本”)
当编译器遇到�q�条指��o时就在编译输出窗口中��消息文本打印出来�?br>当我们在�E�序中定义了许多宏来控制源代码版本的时候，我们自己有可能都会忘记有没有正确的设�|�这些宏�Q�此时我们可以用�q�条指��o在编译的时候就�q�行��查�?br>假设我们希望判断自己有没有在源代码的什么地方定义了_X86�q�个宏可以用下面的方�?br>#ifdef _X86
#Pragma message(“_X86 macro activated!”)
#endif
当我们定义了_X86�q�个宏以后，应用�E�序在编译时��׃��在编译输出窗口里昄��“_
X86 macro activated!”。我们就不会因�ؓ不记得自己定义的一些特定的宏而抓��x��腮了�?/font>

(2)另一个��用得比较多的pragma参数是code_seg�?/font>

格式如：
#pragma code_seg( ["section-name"[,"section-class"] ] )
它能够设�|�程序中函数代码存放的代码段�Q�当我们开发驱动程序的时候就会��用到它�?/font>

(3)#pragma once (比较常用�Q?/font>

只要在头文�g的最开始加入这条指令就能够保证头文件被�~�译一�ơ，�q�条指��o实际上在VC6中就已经有了�Q�但是考虑到兼�Ҏ��ƈ没有太多的��用它�?/font>

(4)#pragma hdrstop

表示预编译头文�g到此为止�Q�后面的头文件不�q�行预编译。BCB可以预编译头文�g以加快链接的速度�Q�但如果所有头文�g都进行预�~�译又可能占太多��盘�I�间�Q�所以��用这个选项排除一些头文�g�?br>有时单元之间有依赖关�p�，比如单元A依赖单元B�Q�所以单元B要先于单元A�~�译。你可以�?pragma startup指定�~�译优先�U�，如果使用�?pragma package(smart_init) �Q�BCB��׃��Ҏ��优先�U�的大小先后�~�译�?/font>

(5)#pragma resource

#pragma resource "*.dfm"表示�?.dfm文�g中的资源加入工程�?.dfm中包括窗体外观的定义�?/font>

(6)#pragma warning
#pragma warning( disable : 4507 34; once : 4385; error : 164 )
�{��h于：
#pragma warning(disable:4507 34) // 不显�C?507�?4可��告信�?br>#pragma warning(once:4385) // 4385可��告信息仅报告一��?br>#pragma warning(error:164) // �?64可��告信息作��Z��个错误�?br>同时�q�个pragma warning 也支持如下格式：
#pragma warning( push [ ,n ] )
#pragma warning( pop )
�q�里n代表一个警告等�U?1---4)�?br>#pragma warning( push )保存所有警告信息的现有的警告状态�?br>#pragma warning( push, n)保存所有警告信息的现有的警告状态，�q�且把全局警告�{��讑֮�为n�?br>#pragma warning( pop )向栈中弹出最后一个警告信息，在入栈和出栈之间所作的一切改动取消。例如：
#pragma warning( push )
#pragma warning( disable : 4705 )
#pragma warning( disable : 4706 )
#pragma warning( disable : 4707 )
//.......
#pragma warning( pop )
在这�D�代码的最后，重新保存所有的警告信息(包括4705�Q?706�?707)�?br>

�Q?�Q�pragma comment(...)
该指令将一个注释记录放入一个对象文件或可执行文件中�?br>常用的lib关键字，可以帮我们连入一个库文�g�?br>

�Q?�Q�progma data_seg
有的时候我们可能想让一个应用程序只启动一�ơ，��像单�g模式(singleton)一��P��实现的方法可能有多种�Q�这里说说用#pragma data_seg来实现的�Ҏ��Q�很是简�z�便利�?/font>
应用�E�序的入口文件前面加�?/font>

#pragma data_seg("flag_data")
int app_count = 0;
#pragma data_seg()
#pragma comment(linker,"/SECTION:flag_data,RWS")

然后�E�序启动的地方加�?/font>

if(app_count>0)     // 如果计数大于0�Q�则退出应用程序�?br>{
   //MessageBox(NULL, "已经启动一个应用程�?, "Warning", MB_OK);

   //printf("no%d application", app_count);

   return FALSE;
}
app_count++;

Windows 在一个Win32�E�序的地址�I�间周围�{�了一道墙。通常�Q�一个程序的地址�I�间中的数据是私有的�Q�对别的�E�序而言是不可见的。但是执行STRPROG的多个执行实体表�C�Z��STRLIB在程序的所有执行实体之间共享数据是毫无问题的。当您在一个STRPROG�H�口中增加或者删除一个字�W�串�Ӟ��q�种改变��立卛_��映在其它的窗口中�?/font>

在全部例�E�之��_��STRLIB�׃�n两个变量�Q�一个字�W�数�l�和一个整敎ͼ�记录已储存的有效字符串的个数�Q�。STRLIB��这两个变量储存在共享的一个特�D�内存区�D�中�Q?/font>

#pragma      data_seg ("shared")

int                 iTotal = 0 ;

WCHAR               szStrings [MAX_STRINGS][MAX_LENGTH + 1] = { '\0' } ;

#pragma      data_seg ()


�W�一�?pragma叙述建立数据�D�，�q�里命名为shared。您可以��这�D�命名�ؓ��M��一个您喜欢的名字。在�q�里�?pragma叙述之后的所有初始化了的变量都放在shared数据�D�中。第二个#pragma叙述标示�D늚��l�束。对变量�q�行专门的初始化是很重要的，否则�~�译器将把它们放在普通的未初始化数据�D�中而不是放在shared中�?/font>

�q�结器必��ȝ��道有一个「shared」共享数据段。在「Project Settings」对话框选择「Link」页面卷标。选中「STRLIB」时在「Project Options」字�D�（在Release和Debug讑֮�中均可）�Q�包含下面的�q�结叙述�Q?/font>

/SECTION:shared,RWS


字母RWS表示�D�具有读、写和共享属性。或者，您也可以直接用DLL原始码指定连�l�选项�Q�就像我们在STRLIB.C那样�Q?/font>

#pragma comment(linker,"/SECTION:shared,RWS")


�׃�n的内存段允许iTotal变量和szStrings字符串数�l�在STRLIB的所有例�E�之间共享。因为MAX_STRINGS�{�于256�Q��?MAX_LENGTH�{�于63�Q�所以，�׃�n内存�D늚�长度�?2,772字节�Q�iTotal变量需�?字节�Q?56个指针中的每一个都需�?28字节�?/font>

深邃�?/a> 2010-09-16 10:25 发表评论

Tue, 10 Aug 2010 09:35:00 GMT

RTTI、虚函数和虚基类的实现方式、开销分析及��用指�?/h1>
白杨

http://baiy.cn

　

“在正��的场合使用恰当的特�?#8221; 对称职的C++�E�序员来说是一个基本标准。想要做到这点，首先要了解语�a�中每个特性的实现方式及其开销。本文主要讨论相对于传统 C 而言�Q�对效率有媄响的几个C++新特性�?/p>
相对于传�l�的 C 语言�Q�C++ 引入的额外开销体现在以下两个方面：

�~�译时开销

模板、类层次�l�构、强�c�d��查等新特性，以及大量使用了这些新�Ҏ��的 STL 标准库都增加了编译器负担。但是应当看刎ͼ��q�些新机能在不降低，甚至�Q�由于模板的内联能力�Q�提升了�E�序执行效率的前提下�Q�明昑և��M��q�大 C++ �E�序员的工作量�?
用几�U�钟的CPU旉��换取几�h日的辛勤力_��Q�附带节省了日后调试和维护代码的旉��Q�这点开销当算��倹{�?/p>
当然�Q�在使用�q�些�Ҏ��的时候，也有不少优化技巧。比如：�~�译一�?�q�泛依赖模板库的大型软�g�Ӟ��几条昑ּ�实例化指令就可能使编译速度提高几十倍；恰当地组合��用部分专门化和完全专门化�Q�不但可以最优化�E�序的执行效率，�q�可以让同时使用多种不同参数实例化一套模板的�E�序体积显著减小……

　

�q�行时开销

�q�行时开销恐怕是�E�序员最兛_��的问题之一了。相对与传统C�E�序而言�Q�C++中有可能引入额外�q�行时开销的新�Ҏ��包括：

虚基�c?
虚函�?
RTTI�Q�dynamic_cast和typeid�Q?
异常
对象的构造和析构

关于其中�W�四点：异常�Q�对于大多数��C��~�译器来��_��在正常情况（未抛出异常）下，try块中的代码执行效率和普通代码一样高�Q�而且�׃��不再需要��用传�l�上通过�q�回值或函数调用来判断错误的方式�Q�代码的实际执行效率�q�可能进一步提高。抛出和捕捉异常的效率也只是在某些情况下才会�E�低于函数正常返回的效率�Q�何况对于一个编写良好的�E�序�Q�抛出和捕捉异常的机会应该不多。关于异�怋�用的详细讨论�Q�参见：C++�~�码规范正文中的相关部分�?a >C++异常机制的实现方式和开销分析一节�?/p>
而第五点�Q�对象的构造和析构开销也不��L��存在。对于不需要初始化/销毁的�c�d��Q��ƈ没有构造和析构的开销�Q�相反对于那些需要初始化/销毁的�c�d��来说�Q�即使用传统的C方式实现�Q�也臛_��需要与之相当的开销。这里要注意的一�Ҏ��量不要让构造和析构函数�q�于臃肿�Q�特别是在一个类层次�l�构中更要注意。时��M��持你的构造、析构函��C��只有最必要的初始化和销毁操作，把那些�ƈ不是每个�Q�子�Q�对象都需要执行的操作留给其他�Ҏ��和派生类去解冟�?/p>
其实对一个优�U�的编译器而言�Q�C++的各�U�特性本�w�就是��用C/汇编加以千锤癄��而最优化实现的。可以说�Q�想用C甚至汇编比编译器更高效地实现某个C++�Ҏ��几乎是不可能的。要是真能做到这一点的话，大侠��应该去写个�~�译器造福�q�大�E�序员才对～

C++之所�?被广泛认为比C“低效”�Q�其�Ҏ��原因在于�Q�由于程序员�Ҏ��些特性的实现方式及其产生的开销不够了解�Q�致使他们在错误的场合��用了错误的特性。而这些错误基本都集中在：

把异常当作另一�U�流控机�Ӟ��而不是仅��其用于错误处理�?
一个类�?或其基类的构造、析构函数过于臃肿，包含了很多非初始�?销毁范畴的代码
滥用或不正确��C��用RTTI、虚函数和虚基类机制

其中前两点上文已�l�讲�q�，下面讨论�W�三炏V�?/p>
��Z��说明RTTI、虚函数和虚基类的实现方式，�q�里首先�l�出一个经典的菱�Ş�l�承实例�Q�及其具体实玎ͼ��Z��便于理解�Q�这里故意忽略了一些无关紧要的优化�Q�：

图中虚箭头代表偏�U�，实箭头代表指�?/p>

�׃��囑־�到每�U�特性的�q�行时开销如下�Q?
　

�Ҏ�?/strong> 旉��开销 �I�间开销

RTTI 几次整�Ş比较和一�ơ取址操作�Q�可能还会有1�?�ơ整形加法）每类�?/u>一个type_info对象�Q�包括类型ID和类名称�Q�，典型情况下小�?2字节
　

虚函�?/td> 一�ơ整形加法和一�ơ指针间接引�?/td> 每类�?/u>一个虚表，典型情况下小�?28字节
每对�?/u>若干个（大部分情况下是一个）虚表指针�Q�典型情况下��于8字节
　

虚基�c?/td> 从虚�l�承的子�c�M��讉K��虚基�cȝ��数据成员或其虚函�?/u>�Ӟ��增加两�ơ指针间接引用和一�ơ整形加法（部分情况下可以优化�ؓ一�ơ指针间接引用）�?/td> 每类�?/u>一个虚基类表，典型情况下小�?2字节
每对�?/u>若干虚基�c�表指针�Q�典型情况下��于8字节
在同时��用了虚函数的时候，虚基�c�表可以合�ƈ到虚表（virtual table�Q�中�Q�每对象的虚基类表指针（vbptr�Q�也可以省略�Q�只需vptr卛_��Q�。实际上�Q?很多实现都是�q�么做的�?
　

* 其中“每类�?#8221;�?#8220;每对�?#8221;是指用到该特性的�c�d��/对象。对于未用到�q�些功能的类型及其对象，则不会增加上�q�开销

可见�Q�关于老天“饿时掉馅饹{��睡时掉老婆”�{�美好传说纯属谣�a�。但凡�h工制品必不完��，��L��设计上的取舍�Q�有光��应的场合也有其不适用的地斏V�?/p>
C++中的每个�Ҏ��，都是从程序员�q�x��的生产生�z�M��逐渐�_�֌�而来的。在不正��的场合使用它们必然会引起逻辑、行为和性能上的问题。对于上�q�特性，应该只在必要、合理的前提下才使用�?/p>
"dynamic_cast" 用于在类层次�l�构中�O游，�Ҏ��针或引用�q�行自由的向上、向下或交叉强制�?typeid" 则用于获取一个对象或引用的确切类型，�?"dynamic_cast" 不同�Q�将 "typeid" 作用于指针通常是一个错误，要得��C��个指针指向之对象的type_info�Q�应当先��其解引用（例如�Q?typeid(*p);"�Q��?/p>
一般地�Ԍ��能用虚函数解决的问题��׃��要用 "dynamic_cast"�Q�能够用 "dynamic_cast" 解决的就不要�?"typeid"。比如：

void
rotate(IN const CShape& iS)
{
    if (typeid(iS) == typeid(CCircle))
    {
        // ...
    }
    else if (typeid(iS) == typeid(CTriangle))
    {
        // ...
    }
    else if (typeid(iS) == typeid(CSqucre))
    {
        // ...
    }

    // ...
}

以上代码�?"dynamic_cast" 写会�E�好一点，当然最好的方式�q�是在CShape里定义名�?"rotate" 的虚函数�?/p>

虚函数是C++众多�q�行时多态特性中开销最��，也最常用的机制。虚函数的好处和作用�q�里不再多说�Q�应当注意在�Ҏ��能有苛刻要求的场合�Q�或者需要频�J�调用，�Ҏ��能影响较大的地方（比如每秒钟要调用成千上万�ơ，而自�w�内容又很简单的事�g处理函数�Q�要慎用虚函数�?/p>
需要特别说明的一�Ҏ��Q�虚函数的调用开销与通过函数指针的间接函数调用（例如�Q�经典C�E�序中常见的�Q�通过指向�l�构中的一个函数指针成员调用；以及调用DLL/SO中的函数�{�常见情况）是相当的。比起函数调用本�w�的开销�Q�保存现�?>传递参�?>传递返回�?>恢复现场�Q�来��_��一�ơ指针间接引用是微不��道的。这��׃��?strong>在绝大部分可以��用函数的场合中都能够负担得�v虚方�?/strong>的些微额外开销�?/p>
作�ؓ一�U�支持多�l�承的面向对象语�a��Q�虚基类有时是保证类层次�l�构正确一致的一�U�必不可��的手段。但在需要频�J��用基�c�L��供的服务�Q�又�Ҏ��能要求较高的场合，应该��量避免使用它。在基类中没有数据成员的场合�Q�也可以解除使用虚基�c�R��例如，在上图中�Q�如果类 "BB" 中不存在数据成员�Q�那�?"BB" ��可以作��Z��个普通基�c�d��别被 "B1" �?"B2" �l�承。这��L��优化在达到相同效果的前提下，解除了虚基类引�v的开销。不�q�这�U�优化也会带来一些问题：�?"DD" 向上强制�?"BB" 时会引�v歧义�Q�破坏了�c�d��ơ结构的逻辑关系�?/p>
上述�Ҏ��的�I�间开销一般都是可以接受的�Q�当然也存在一些特例，比如�Q�在存储布局需要和传统C�l�构兼容的场合、在考虑寚w��的场合、在需要�ؓ一个本来尺寸很��的�c�d��时实例化许多对象的场合等�{��?/p>

深邃�?/a> 2010-08-10 17:35 发表评论

Debug �? Release

Sat, 21 Nov 2009 14:39:00 GMT
Debug版本包括调试信息�Q�所以要比Release版本大很多（可能大数百K��x��M�Q�。至于是否需要DLL支持�Q�主要看你采用的�~�译选项。如果是��Z��ATL的，则Debug和Release版本对DLL的要求差不多。如果采用的�~�译选项��Z��用MFC动态库�Q�则需要MFC42D.DLL�{�库支持�Q�而Release版本需要MFC42.DLL支持。Release Build不对源代码进行调试，不考虑MFC的诊断宏�Q��用的是MFC Release库，�~�译十对应用�E�序的速度�q�行优化�Q�而Debug Build则正好相反，它允许对源代码进行调试，可以定义和��用MFC的诊断宏�Q�采用MFC Debug库，寚w��度没有优化�?

一、Debug �? Release �~�译方式的本质区�?

Debug 通常�U�Cؓ调试版本�Q�它包含调试信息�Q��ƈ且不作�Q何优化，便于�E�序员调试程序。Release �U�Cؓ发布版本�Q�它往往是进行了各种优化�Q��得程序在代码大小和运行速度上都是最优的�Q�以便用户很好地使用�?
Debug �? Release 的真正秘密，在于一�l�编译选项。下面列��Z��分别针对二者的选项�Q�当焉��此之外还有其他一些，�?Fd /Fo�Q�但区别�q�不重要�Q�通常他们也不会引�? Release 版错误，在此不讨论）

Debug 版本�Q?
/MDd /MLd �? /MTd 使用 Debug runtime library(调试版本的运行时��d��数库)
/Od 关闭优化开�?
/D "_DEBUG" 相当�? #define _DEBUG,打开�~�译调试代码开�?主要针对
assert函数)
/ZI 创徏 Edit and continue(�~�辑�l�箋)数据库，�q�样在调试过
�E�中如果修改了源代码不需重新�~�译
/GZ 可以帮助捕获内存错误
/Gm 打开最��化重链接开养I��减少链接旉��

Release 版本�Q?
/MD /ML �? /MT 使用发布版本的运行时��d��数库
/O1 �? /O2 优化开养I��使程序最��或最�?
/D "NDEBUG" 关闭条�g�~�译调试代码开�?即不�~�译assert函数)
/GF 合�ƈ重复的字�W�串�Q��ƈ��字�W�串帔R��攑ֈ�只读内存�Q�防�?
被修�?

实际上，Debug �? Release �q�没有本质的界限�Q�他们只是一�l�编译选项的集合，�~�译器只是按照预定的选项行动。事实上�Q�我们甚臛_��以修改这些选项�Q�从而得��C��化过的调试版本或是带跟踪语句的发布版本�?

二、哪些情况下 Release 版会出错

有了上面的介�l�，我们再来逐个对照�q�些选项看看 Release 版错误是怎样产生�?

1. Runtime Library�Q�链接哪�U�运行时��d��数库通常只对�E�序的性能产生影响。调试版本的 Runtime Library 包含了调试信息，�q��用了一些保护机制以帮助发现错误�Q�因此性能不如发布版本。编译器提供�? Runtime Library 通常很稳定，不会造成 Release 版错误；倒是�׃�� Debug �? Runtime Library 加强了对错误的检��，如堆内存分配�Q�有时会出现 Debug 有错�? Release 正常的现象。应当指出的是，如果 Debug 有错�Q�即�? Release 正常�Q�程序肯定是�? Bug 的，只不�q�可能是 Release 版的某次�q�行没有表现出来而已�?

2. 优化�Q�这是造成错误的主要原因，因�ؓ关闭优化时源�E�序基本上是直接��译的，而打开优化后编译器会作��Z��p�d��假设。这�c�错误主要有以下几种�Q?

(1) 帧指�?Frame Pointer)省略�Q�简�U? FPO �Q�：在函数调用过�E�中�Q�所有调用信息（�q�回地址、参敎ͼ�以及自动变量都是攑֜�栈中的。若函数的声明与实现不同�Q�参数、返回倹{��调用方式）�Q�就会��生错误————但 Debug 方式下，栈的讉K��通过 EBP 寄存器保存的地址实现�Q�如果没有发生数�l�越界之�cȝ��错误�Q�或是越�?#8220;不多”�Q�，函数通常能正常执行；Release 方式下，优化会省�? EBP 栈基址指针�Q�这样通过一个全局指针讉K��栈就会造成�q�回地址错误是程序崩溃。C++ 的强�c�d��Ҏ��能��查出大多数这��L��错误�Q�但如果用了强制�c�d��转换�Q�就不行了。你可以�? Release 版本中强制加�? /Oy- �~�译选项来关掉��指针省略�Q�以��定是否此类错误。此�c�错误通常有：

�? MFC 消息响应函数书写错误。正��的应�ؓ
afx_msg LRESULT OnMessageOwn(WPARAM wparam, LPARAM lparam);
ON_MESSAGE 宏包含强制类型�{换。防止这�U�错误的�Ҏ��之一是重定义 ON_MESSAGE 宏，把下列代码加�? stdafx.h 中（�?include "afxwin.h"之后�Q?函数原�Ş错误时编译会报错
#undef ON_MESSAGE
#define ON_MESSAGE(message, memberFxn) \
{ message, 0, 0, 0, AfxSig_lwl, \
(AFX_PMSG)(AFX_PMSGW)(static_cast< LRESULT (AFX_MSG_CALL \
CWnd::*)(WPARAM, LPARAM) > (&memberFxn) },

(2) volatile 型变量：volatile 告诉�~�译器该变量可能被程序之外的未知方式修改�Q�如�pȝ��、其他进�E�和�U�程�Q�。优化程序�ؓ了�ɽE�序性能提高�Q�常把一些变量放在寄存器中（�c�M��? register 关键字）�Q�而其他进�E�只能对该变量所在的内存�q�行修改�Q�而寄存器中的值没变。如果你的程序是多线�E�的�Q�或者你发现某个变量的��g��预期的不�W�而你��信已正��的讄��了，则很可能遇到�q�样的问题。这�U�错误有时会表现为程序在最快优化出错而最��优化正常。把你认为可疑的变量加上 volatile 试试�?

(3) 变量优化�Q�优化程序会�Ҏ��变量的��用情况优化变量。例如，函数中有一个未被��用的变量�Q�在 Debug 版中它有可能掩盖一个数�l�越界，而在 Release 版中�Q�这个变量很可能被优化调�Q�此时数�l�越界会破坏栈中有用的数据。当�Ӟ��实际的情况会比这复杂得多。与此有关的错误有：
�? 非法讉K��Q�包括数�l�越界、指针错误等。例�?
void fn(void)
{
int i;
i = 1;
int a[4];
{
int j;
j = 1;
}
a[-1] = 1;//当然错误不会�q�么明显�Q�例如下标是变量
a[4] = 1;
}
j 虽然在数�l�越界时已出了作用域�Q�但其空间�ƈ未收回，因�? i �? j ��׃��掩盖��界。�? Release 版由�? i、j �q�未其很大作用可能会被优化掉�Q�从而��栈被破坏�?

3. _DEBUG �? NDEBUG �Q�当定义�? _DEBUG �Ӟ��assert() 函数会被�~�译�Q��? NDEBUG 时不被编译。除此之外，VC++中还有一�p�d��断言宏。这包括�Q?

ANSI C 断言 void assert(int expression );
C Runtime Lib 断言 _ASSERT( booleanExpression );
_ASSERTE( booleanExpression );
MFC 断言 ASSERT( booleanExpression );
VERIFY( booleanExpression );
ASSERT_VALID( pObject );
ASSERT_KINDOF( classname, pobject );
ATL 断言 ATLASSERT( booleanExpression );
此外�Q�TRACE() 宏的�~�译也受 _DEBUG 控制�?

所有这些断�a�都只�? Debug版中才被�~�译�Q�而在 Release 版中被忽略。唯一的例外是 VERIFY() 。事实上�Q�这些宏都是调用�? assert() 函数�Q�只不过附加了一些与库有关的调试代码。如果你在这些宏中加入了��M��E�序代码�Q�而不只是布尔表达式（例如赋倹{��能改变变量值的函数调用 �{�）�Q�那�? Release 版都不会执行�q�些操作�Q�从而造成错误。初学者很�Ҏ��犯这�c�错误，查找的方法也很简单，因�ؓ�q�些宏都已在上面列出�Q�只要利�? VC++ �? Find in Files 功能在工�E�所有文件中扑ֈ�用这些宏的地方再一一��查即可。另外，有些高手可能�q�会加入 #ifdef _DEBUG 之类的条件编译，也要注意一下�?
��Z��值得一提的�? VERIFY() 宏，�q�个宏允�怽��程序代码放在布��表辑ּ�里。这个宏通常用来��? Windows API 的返回倹{��有些�h可能��个原因而滥�? VERIFY() �Q�事实上�q�是危险的，因�ؓ VERIFY() �q�反了断�a�的思想�Q�不能�ɽE�序代码和调试代码完全分��，最�l�可能会带来很多�ȝ��。因此，专家们徏议尽量少用这个宏�?

4. /GZ 选项�Q�这个选项会做以下�q�些�?

(1) 初始化内存和变量。包括用 0xCC 初始化所有自动变量，0xCD ( Cleared Data ) 初始化堆中分配的内存�Q�即动态分配的内存�Q�例�? new �Q�，0xDD ( Dead Data ) 填充已被释放的堆内存�Q�例�? delete �Q�，0xFD( deFencde Data ) 初始化受保护的内存（debug 版在动态分配内存的前后加入保护内存以防止越界访问）�Q�其中括号中的词是微软徏议的助记词。这样做的好处是�q�些值都很大�Q�作为指针是不可能的�Q�而且 32 位系�l�中指针很少是奇数��|��在有些系�l�中奇数的指针会产生�q�行旉��误）�Q�作为数��g��很少遇到�Q�而且�q�些��g��很容易��L认，因此�q�很有利于在 Debug 版中发现 Release 版才会遇到的错误。要特别注意的是�Q�很多�h认�ؓ�~�译器会�? 0 来初始化变量�Q�这是错误的�Q�而且�q�样很不利于查找错误�Q��?
(2) 通过函数指针调用函数�Ӟ��会通过��查栈指针验证函数调用的匹配性。（防止原�Ş不匹配）
(3) 函数�q�回前检查栈指针�Q�确认未被修攏V��（防止��界讉K��和原形不匚w��Q�与�W�二��合在一起可大致模拟帧指针省�? FPO �Q?

通常 /GZ 选项会造成 Debug 版出错�? Release 版正常的现象�Q�因�? Release 版中未初始化的变量是随机的，�q�有可能使指针指向一个有效地址而掩盖了非法讉K��?

除此之外�Q?Gm /GF �{�选项造成错误的情冉|��较少�Q�而且他们的效果显而易见，比较�Ҏ��发现�?
--------------------------------------------------------------
Release是发行版�?比Debug版本有一些优化，文�g比Debug文�g��?
Debug是调试版本，包括的程序信息更�?
Release�Ҏ��Q?
build->batch build->build��OK.

-----------------------------------------------------

一�?amp;quot;Debug是调试版本，包括的程序信息更�?amp;quot;

补充�Q�只有DEBUG版的�E�序才能讄��断点、单步执行、��用TRACE/ASSERT�{�调试输��句。REALEASE不包含�Q何调试信息，所以体�U�小、运行速度快�?

二、一般发布release的方法除了hzh_shat(�? 所说的之外�Q�还可以project->Set Active Config�Q�选中release版本。此后，按F5或F7�~�译所得的�l�果��是release版本

深邃�?/a> 2009-11-21 22:39 发表评论

DLL �U�程本地存储

Mon, 26 Oct 2009 10:33:00 GMT

DLL, �U�程本地存储

1.概览

.构造DLL

   (1)仅导出函�?/font>

      DLL可以导出全局变量和类�Q�但我们不徏议这么做�Q�徏议导出函数�?/font>

   (2).lib

      每个DLL都有与之相对应的.lib文�g,该文件中列出�?/font>DLL中导出的函数和变量的�W�号�?/font>

   (3)指定要导出的函数�?/font>

       因�ؓ不同�~�译器的Name mangle规则不同�Q�这��导�?/font>DLL不能跨编译器使用�?/font>

       有以下两�U�方法可以解册��个问题：

            1.�?/font>.def文�g中指定要导出的函数名

            2.在编译指中指定要导出的函数名�Q?/font>

                #pragma comment(linker, "/export:MyFunc=_MyFunc@8")

.DLL加蝲路径

    当需要加载一�?/font>DLL�Ӟ��pȝ��会依照下面的��序��d��找所需DLL直到扑ֈ�为止�Q�然后加载，否则加蝲��p�|�?/font>

              (1)当前可执行文件�\�?/font>

              (2)GetWindowsDirectory�q�回的Windows�pȝ��路径

              (3)16位系�l�的路径 windows"system

              (4)GetSystemDirectory�q�回的Windows�pȝ��路径

              (5)当前�q�程所在�\�?/font>

              (6)PATH环境中所指定的�\�?/font>

.创徏\使用动态链接库

首先必须创徏一个包含需要导出的�W�号的头文�g�Q�以便其他程序链接到该dll上：

// dllexample.h

#ifdef DLLEXAMPLE_EXPORTS // 在编译命令中已定义，所以实际用的是 __declspec(dllexport)

#define DLLEXAMPLE_API __declspec(dllexport)

#else

#define DLLEXAMPLE_API __declspec(dllimport)

#endif

DLLEXAMPLE_API int fnDllexample(void);

当其他应用包含该头文�Ӟ��意图使用该dll的导出符��h��Q�因为没有定义DLLEXAMPLE_EXPORTS�Q�所以��用的是__declspec(dllimport)�Q�这��L��译器�~�译时便知道�q�是从外部引入的函数。在链接�Ӟ��链接�E�序��生成导入表(ImportAddressTable),该表�|�列了所有调用到的函敎ͼ�以及一个空白的对应地址。在�E�序执行�Ӟ��加蝲器将动态的填入每个函数�W�号在本�q�程中的地址�Q��得程序能正确的调用到dll中的函数上�?

�q�种通过dll提供�?h�?lib文�g�q�行链接dll的��用方式，�U�Cؓ隐式链接。用vc开发程序时�Q�几乎所有的�pȝ��API调用都用了隐式链接�?

.昑ּ�链接

在exe创徏时不引用.lib文�g中的�W�号�Q�当然也不必包含.h头文�Ӟ��而是��q��序调用LoadLibrary(Ex)以及GetProcAddress函数来获取每个需要��用的函数地址�Q�从而进行dll中的函数调用�Q�这�U�dll使用�Ҏ��U�Cؓ昑ּ�链接。显式链接时不生成对应dll的IAT.

当决定不再��用该dll�Ӟ��通过调用FreeLibrary来卸载。需要注意的是，同一个进�E�中��p��调用LoadLibrary的次数要和调用FreeLibrary的次数相�{�，因�ؓ�pȝ��l�护了一个��用计敎ͼ�当计��Cؓ0�Ӟ��才会真正的卸载该dll.

如果想确认一个dll是否已经被映��到�q�程�I�间中，��量使用GetModuleHandle�Q�最好不要冒然��用LoadLibrary(Ex).

GetProcAddress可以传递函数名或者序�?通过MAKEINTRESOURCE(2)�?制作"序号).

1.1动态加载DLL文�g LoadLibraryEx

HMODULE LoadLibraryEx( //�q�回DLL加蝲到进�E�空间原首地址�?/font>

PCTSTR pszDLLPathName,

HANDLE hFile,

DWORD dwFlags);

dwFlags 可以有以下几个�?/font>

              (1) DONT_RESOLVE_DLL_REFERENCES

                                    ��永远不要使有�q�个��|��它的存在仅仅是�ؓ了向后兼宏V�?/font>

                  更多内容误��问：http://blogs.msdn.com/oldnewthing/archive/2005/02/14/372266.aspx

              (2) LOAD_LIBRARY_AS_DATAFILE

                  把要加蝲�?/font>DLL文�g以数据文件的形式加蝲到进�E�中�?/font>

                  GetModuleHandle�?/font>GetProcAddress�q�回NULL

              (3) LOAD_LIBRARY_AS_DATAFILE_EXCLUSIVE

                  与前者相同，不同的时独占打开�Q�禁止其它进�E�访问和修改�?/font>DLL中的内容�?/font>

              (4) LOAD_LIBRARY_AS_IMAGE_RESOURCE

                  不修�?/font>DLL中的RVA�Q�以image的�Ş式加载到�q�程中。常�?/font>LOAD_LIBRARY_AS_DATAFILE_EXCLUSIVE一起��用�?/font>

              (5) LOAD_WITH_ALTERED_SEARCH_PATH

                   修改DLL的加载�\�?/font>

1.2 DLL的加载与卸蝲

    (1)加蝲

       不要在同一�q�程中，同时使用LoadLIbrary�?/font>LoadLibraryEx加蝲同一DLL文�g�?/font>

       DLL的引用计数是以进�E��ؓ单位的�?/font>LoadLibrary会把DLL文�g加蝲到内存，然后映射到进�E�空间中�?/font>

       多次加蝲同一DLL只会增加引用计数而不会多�ơ映��。当所有进�E�对DLL的引用计数都�?/font>0�Ӟ��pȝ��会在内存中释放该DLL�?/font>

    (2)卸蝲

         FreeLibrary,FreeLibraryAndExitThread对当前进�E�的DLL的引用计数减1

    (3) GetProcAddress

         取得函数地址。它只接�?/font>ANSI字符丌Ӏ?/font>

2.DLL的入口函�?/strong>

      2.1 DllMain

              BOOL WINAPI DllMain(

              HINSTANCE hInstDll, ""加蝲后在�q�程中的虚拟地址

              DWORD fdwReason, ""�pȝ��因何而调用该函数

              PVOID fImpLoad ""查看是隐工还是动态加载该DLL

    DLLs�?/font>DllMain�Ҏ��来初始化他们自已�?/font>DllMain中的代码应尽量简单，只做一些简单的初始化工作�?/font>

    不要�?/font>DllMain中调�?/font>LoadLibrary,FreeLibrary�?/font>Shell, ODBC, COM, RPC, �?/font> socket 函数�Q�从而避免不可预期的错误�?/font>

  2.2 fdwReason的�?/strong>

    (1)DLL_PROCESS_ATTACH

      �pȝ��在�ؓ每个�q�程�W�一�ơ加载该DLL时会�Q�执�?/font>DLL_PROCESS_ATTACH后面的语句来初始�?/font>DLL,DllMain的返回��g��由它军_��?/font>

     �pȝ��会忽�?/font>DLL_THREAD_ATTACH�{�执行后DllMain的返回倹{�?/font>

     如果DllMain�q�回FALSE,�pȝ��会自动调�?/font>DLL_PROCESS_DETACH的代码�ƈ解除DLL文�g中进�E�中的内存映��?/font>

    (2)DLL_PROCESS_DETACH

        如果DLL是因�q�程�l�止而卸载其在进�E�中的映��，那么负责调用ExitProcess的线�E�会调用DllMain�?/font>DLL_PROCESS_DETACH所对应的代码�?/font>

        如果DLL是因FreeLibrary�?/font>FreeLibraryAndExitThread�Q�而卸载其在进�E�中的映��? 那么FreeLibrary�?/font>FreeLibraryAndExitThread会负责调�?/font>DllMain�?/font>DLL_PROCESS_DETACH所对应的代码�?/font>

        如果DLL是因TerminateProcess而卸载其在进�E�中的映��?/font>,�pȝ��不会调用DllMain�?/font>DLL_PROCESS_DETACH所对应的代码�?/font>

    (3) DLL_THREAD_ATTACH

        若进�E�是先加载的DLL,后创建的�U�程

        那么在进�E�中创徏新线�E�时(�ȝ��E�除�?/font>)�Q�系�l�会执行该进�E�已载的所�?/font>DLL�?/font>DllMain�?/font>DLL_THREAD_ATTACH对应的代码�?/font>

         若进�E�是先创建的�U�程,后加载的DLL

         那么�pȝ��不会调用DLL�?/font>DllMain中的代码�?/font>

     (4) DLL_THREAD_DETACH

         �q�程中的�U�程退出时�Q�会先执行所有已加蝲DLL�?/font>DllMain�?/font>DLL_THREAD_DETACH所对应的代码。若该代码中有死循环�Q�线�E�不会退出�?/font>

2.3 同步化DllMain的调�?/strong>

      同一旉��只能有一个线�E�调�?/font>DllMain中的代码�Q�所以下面的代码会导致死循环

BOOL WINAPI DllMain(HINSTANCE hInstDll, DWORD fdwReason, PVOID fImpLoad) {

   HANDLE hThread;

   DWORD dwThreadId;

   switch (fdwReason) {

   case DLL_PROCESS_ATTACH:

      // The DLL is being mapped into the process' address space.

      // Create a thread to do some stuff.

      hThread = CreateThread(NULL, 0, SomeFunction, NULL,

         0, &dwThreadId);// CreateThread�?/font>DLL_THREAD_ATTACH中的代码�Q�但是由于当前线�E��ƈ未执行完�?/font>,

      //所�?/font>DLL_THREAD_ATTACH 中的代码不会被执行，�?/font>CreateThread永无不会�q�回�?/font>

      // Suspend our thread until the new thread terminates.

      WaitForSingleObject(hThread, INFINITE);

      // We no longer need access to the new thread.

      CloseHandle(hThread);

      break;

   case DLL_THREAD_ATTACH:

      // A thread is being created.

      break;

   case DLL_THREAD_DETACH:

      // A thread is exiting cleanly.

      break;

   case DLL_PROCESS_DETACH:

      // The DLL is being unmapped from the process' address space.

      break;

   }

   return(TRUE);

}

3.延时加蝲DLL

(1)延时加蝲DLL的限�?/font>

         延迟加蝲的D L L是个隐含链接的D L L�Q�它实际上要�{�到你的代码试图引用D L L中包含的一个符��h��才进行加�?/font>�Q�它与动态加载不同�?/font>

        http://msdn2.microsoft.com/en-us/library/yx1x886y(VS.80).aspx

4.已知的DLL (Known DLLs)

    位置�Q?/font>HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"Session Manager"KnownDLLs

    LoadLibrary在查�?/font>DLL会先去该位置查找有无相应的键��g��DLL要对应，若有则根据链值去%SystemRoot%"System32加蝲键值对应的DLL

    若无则根据默认规��d��?/font>DLL

5.Bind and Rebase Module

    它可以程序启动的速度�?/font>ReBaseImage

DLL 注入�?/font>API�?/font>(DLL Injection and API Hooking)

1.概览

  每个�q�程都有自已独立的地址�I�间�Q�一个进�E�不可能创徏一个指向其它进�E�地址�I�间的指针�?/font>

   然而如果我们把自已�?/font>DLL注射到另一个进�E�的地址�I�间去，我们��可以在那个被注入的�q�程里�ؓ所�Ʋ�ؓ了�?/font>

   Subclass同一�q�程中的�H�体�Q?/font>http://msdn2.microsoft.com/en-us/library/ms649784.aspx.

2.用注册表注入DLL

     该方法适用于给GUI的程序注�?/font>DLL

     所有的GUI应用�E�序在启动时都会加蝲User32.dll�Q�而在User32.dll�?/font>DLL_PROCESS_ATTACH代码�Ҏ��注册表中的信�?/font>

来注入用��h��定的DLL

注册表项　HKEY_LOCAL_MACHINE"Software"Microsoft"Windows NT"CurrentVersion"Windows"

中有两个��|��

    LoadAppInit_Dlls�Q�键��g��指定要注入的DLL　�?/font>:c:"inject.dll

AppInit_Dlls�Q�若光��gؓ1,则注�?/font>LoadAppInit_Dlls中指定的DLL�Q�否则若�?/font>0则不注入�?/font>

    �?/font>:

(1)LoadAppInit_Dlls中的值是以空格或分号分隔的，所�?/font>DLL的�\径中最好不要有�I�格�Q�最后不指定路径�Q�直接将DLL攑ֈ�windows�pȝ��目录中�?/font>

(2) 用注册表注入DLL的方式有很大的局限�?/font>,Kernel32.dll�?/font>Ntdll.dll中有的函数才能调�?/font>

一.注入dll

1.通过注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 来指定你的dll的�\径，那么当一个GUI�E�序启动时就要加载User32.dll,而User32.dll��会��查这个��|��如果有的话就LoadLibrary该Dll。这个方法不好，因�ؓ大多数情冉|��们只需要针�Ҏ��的注入�Q��ƈ且没办法注入��C��使用User32.dll的进�E�中�Q?

2.用SetWindowsHookEx函数�Q��ƈ传递目标线�E�ID、需要挂载的Dll在本�q�程中的映射地址(hInstance)、替换函数在本进�E�中的地址。这��P��当被挂蝲�q�程的这个线�E�要执行相应的操作时(GETMESSAGE、键盘消息之�cȝ��)�Q�就会发现已�l�安装了WH_XX�Q�The system checks to see whether the DLL containing the GetMsgProc function is mapped into Process B's address space�Q�如果还未映��该Dll�Q�则强制LoadLibrary。然后系�l�调用hThisInstance + (GetMsgProc - hInstance),从而实��C��事�g的通知。这�U�方法的好处是可以针�Ҏ��个进�E�安装Hook�Q�缺�Ҏ��Ҏ��被目标进�E�发现、同样只适用于GUI�q�程。如果不再想使用挂钩了，那么需要调用UnhookWindowsHookEx�Q�卸载Hook�?

3.使用�q�程�U�程注入Dll(Injecting a DLL Using Remote Threads)

�q�个�Ҏ��比较好。流�E�是�q�样�?

?调用VirtualAllocEx�Q�在目标�q�程保留一块内存，�q�提交，光��度是你要注入Dll的全路径长度nLen + 1�Q�返回地址pv;

?调用WriteProcessMemory�Q�在目标�q�程的pv处写入Dll的全路径�Q�注意要��d��\0�l�束�W?

?获取本进�E?/strong>的LoadLibrary函数的地址�Q�方法是调用pfn = GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA")——之所以获取本�q�程的地址�Q�是因�ؓkernel32.dll在每个进�E�的映射地址都相同，倘若不同�Q�那么此�Ҏ��则无�?

?调用HANDLE hThread = CreateRemoteThread(hProcessRemote, NULL, 0,  pfn, pv, 0, NULL)来创��E�线�E�，其实�q�个�U�程函数��是LoadLibrary函数�Q�因此将执行映射Dll到目标进�E�的操作;

?调用VirtuallFreeEx(hProcessRemote, pv)释放提交的内�?

�q�便完成了dll注入�?

�~�点是不能用在windows98上。但是对于xp都要被微软抛弃的�q�代�Q�windows98地媄响不大了�?

4.披着��皮的狼�Q��用特�z�伊Dll来注入Dll(Injecting a DLL with a Trojan DLL)

其实��是替换某个目标�q�程要加载的a.dll�Q��ƈ把a.dll的所有引出函数用函数转发器在自己的dll引出�?

5.用调试函数插入Dll

ReadProcessMemory和WriteProcessMemory是windows提供的调试函数。如果在�Ҏ��3中调用WriteProcessMemory写入的不是字串而是�_�ֿ��~�排好的机器指��o�Q��ƈ且写在目标进�E�特定的地址�I�间�Q�那么这�D�|��器指令就有机会执行——而这�D�|��器指令恰好完成了LoadLibrary功能;

6.其他�Ҏ��Q�略�Q?

�?挂接API(API Hooking)

其实�Q�这是许多注入的Dll都愿意做的事情�?

所谓挂接API��是在目标进�E�调用windows API之前�Q�先执行我们的仿API函数�Q�从而控制系�l�API的行为，辑ֈ��Ҏ��的目的�?

我们的仿造函数必��M��要替换的�pȝ��API有相同的型参表以及相同的�q�回值类�?

1.改写�pȝ��API代码的前几个字节�Q�通过写入jmp指��o来蟩转到我们的函数。在我们的函数里执行操作�Q�可以直接返回一个��|��也可以将�pȝ��API的前几个字节复原�Q�调用系�l�API�Q��ƈ�q�回�pȝ��API的值——随便你��x��么做�?

此方法的�~�点是对于抢占式多线�E�的�pȝ��不太��用�?

2.通过改写目标�q�程IAT中要调用的函数地址来达到目的。具体操作见书中�C�Z��

�U�程本地存储(Thread-Local Storage)

例子C / C + +�q�行期库要��用线�E�本地存储器�Q?T L S�Q�。由于运行期库是在多�U�程应用�E�序出现前的许多�q�设计的�Q�因此运行期库中的大多数函数是用于单�U�程应用�E�序的。函数s t r t o k��是个很好的例子�?/font>

��可能避免��用全局变量和静态变�?/font>

1.动态TLS

�?1-1 用于��理T L S的内部数据结�?/font>

在创建线�E�时�Q�进�E�会为当前创建的�U�程分配一�?/font>void *的数�l�作�?/font>TLS用。它用于存储只限当前�U�程可见的全局变量�?/font>

从而�ɘq�程中的每个�U�程都可以有自已�?/font>(不能其它�U�程讉K��?/font>)全局变量�?/font>

TlsAlloc在返回时会先把槽中的值置�?/font>0。每个线�E�至��有64个槽�?/font>

2.静态TLS

              __declspec(thread)关键字用于声明，�U�程本地的全局变量�?/font>

              要求声明的变量必��L��全局变量或静态变量�?/font>

3.Common API:

              TlsAlloc   TlsFree

              TlsSetValue   TlsGetValue

              __declspec(thread)

深邃�?/a> 2009-10-26 18:33 发表评论

解决�Ҏ��	OS	�q�程
I、Hooks	Win9x �?WinNT	仅仅�?USER32.DLL �Q�注3�Q�链接的�q�程
II、CreateRemoteThread & LoadLibrary	�?WinNT�Q�注4�Q?/td>	所有进�E�（�?�Q? 包括�pȝ��服务�Q�注6�Q?/td>
III、CreateRemoteThread & WriteProcessMemory	�?WinNT	所有进�E? 包括�pȝ��服务