伪造 ASM 返回地址？

Question

是否可以在 ebp + 4 处伪造返回地址。

我目前正在编写一个 DLL，您可以将它注入到游戏中，它会在其中调用游戏函数来执行操作，但我调用的函数会根据程序本身检查返回地址，如果它在它们的基础之外检测到它。

那么基本上有没有办法以任何方式伪造返回地址？

它是这样工作的：

if ( (_BYTE *)retaddr - (_BYTE *)unusedPadding >= (unsigned int)&byte_A6132A )
  {
    dword_11E59F8 |= 0x200000u;
    dword_162D06C = 0;
    result = (void (*)())sub_51FEE0(dword_11E59FC, v5, (_BYTE *)retaddr - (_BYTE *)unusedPadding, ebx0, edi0, a1);
  }

Answer 1

更好的方法：

    push returnshere
    push your_second_argument
    push your_first_argument
    push address_of_fragment_in_exe
    jmp  function_you_want_to_call
returnshere:
    ; more code

其中address_of_ret_in_exe是这个片段的地址：

    add esp, 8 ;4 * number of arguments pushed
    ret

这具有不编辑游戏二进制文件的优点。我见过不止一款游戏会自动校验和，所以如果你编辑它，即使是在闲置的空间里，你也会遇到麻烦。如果他们在验证调用来自游戏二进制文件时遇到了这么多麻烦，那么他们可能会防御游戏二进制文件被编辑。很高兴他们没有跟踪调用图。

Answer 2

你的意思是调用函数的入口，[esp]的返回地址不是实际的调用站点？

你可以模仿call，按下你想要的任何东西然后跳跃。当然，你这样调用的函数会返回你给它的返回地址。不匹配的call/ret 也会有显着的性能损失，因为你会破坏 CPU 的返回地址预测器堆栈。

---

你能把一些蹦床函数放在一个可接受的地址范围内，并通过它们调用吗？尽管在堆栈上传递参数的 32 位 ABI 中这确实很不方便。我想您必须将一个额外的 arg 传递给 trampoline 函数，它可以用来存储返回地址，而不是复制所有 args。

所以蹦床可能是这样的：

mov   [esp+20], esi      ; save esi in a dummy arg slot
mov   esi, [esp]         ; save the orig return address in a call-preserved reg
add   esp, 4             ; call with the original args
call  lib_function
push  esi                ; restore the orig return address
mov   esi, [esp+20]      ; and restore esi
ret                      ; return to orig return address

这不是很好，并且需要为每个库函数复制的东西需要大量代码。 （而且它不会生成堆栈帧，因此可能会损害调试/异常处理？）对于没有很多参数的函数，执行类似的操作可能会更短

push   [esp+8]         ; 2nd arg
push   [esp+8]         ; 1st arg
call  lib_function
add    esp, 8
ret

使用间接调用可以让您对多个函数使用相同的蹦床，但如果没有简单的短模式，则会以分支错误预测为代价。

当然，这些蹦床都不能工作，除非你能把它们放在内存中库可以接受调用的地址。