Скрыть адрес вызываемой функции. С/C++?

Question

[Никита Гущин]

Здравствуйте! Есть задача - спрятать адрес функции в программе, чтобы при статическом анализе "злоумышленник" не смог найти места вызова этой функции.

С переменными (глобальными) я делал так:

char gStr[] = "Hello Toster!"; // Глобальная переменная

Далее где-нибудь в функции:

void foo(int a)
{
    char *str = gStr + 10;
    ...
    puts(str-a); // параметр a - всегда равен 10
}

Смысл был в том, что при компиляции выражение gStr + 10, содержащее две константы, будет автоматически посчитано (а результат будет присвоен в str) и в будущем, если кому-либо удастся найти адрес gStr - он не найдет место, где она была использована.

Я хотел сделать тоже самое с функциями: взял функцию foo(из примера выше) и попробовал сделать на нее указатель со смещением:

void foo2(int a)
{
    void (*fptr)(int) = (void(*)(int)) &((int*)f)[3]; // сложная конструкция :(((
    // void (*fptr)(int) = (void(*)(int)) (f+3); // пробовал и так
    ...
}

Но компилятор упорно не хочет вычислять выражение &((int*)f)[3] при компилировании. Хотя имя функции - это константа на момент компиляции. Подскажите - в чем проблема и как быть? Заранее спасибо!)

PS Компилировал в Visual Studio 2012 под win32. Пробовал и debug и release. Пример с константой работал всегда, с функцией - никогда.

Answer 1

[Никита Гущин]

Я нашел решение: делаем указатель - глобальной переменной. А не локальной, как у нас было до этого.

void (*gFunPtr)(int) = (void(*)(int)) ((int*)f+3); // Глобальная переменная

И, тогда в функции foo2 :

void foo2(int a)
{
    void (*fptr)(int) = gFunPtr;
    ...
}

В release-сборке это присваивание будет выглядеть так:

mov eax,[000403024]
...

В свою очередь, по адресу 00403024 (это адрес нашей глобальной переменной gFunPtr) мы видим:
6C104000
Как известно у нас обратный порядок байт - следовательно в переменной gFunPtr содержится значение 0040106C. А это не что иное как:
00401060(адрес функции f) + С (3 * sizeof int)
Все получилось!)

Answer 2

[jcmvbkbc]

компилятор упорно не хочет вычислять выражение &((int*)f)[3] при компилировании

Что говорит?

имя функции - это константа на момент компиляции

Ложное утверждение. Адрес функции становится известен только на этапе линковки, а если функция импортирована из dll -- то только в момент загрузки. Если линковка релоцируемая, то адрес может измениться в момент загрузки. Другое дело, что константная строка в этом смысле мало отличается от функции.

Сложная конструкция должна выглядеть вот так:
void (*fptr)(int) = (void(*)(int)) (((int*)f) + 3);
Вариант с (f+3) компилироваться не будет, т.к. арифметика указателей не работает с указателями на функции.

В линуксе эта конструкция компилируется и работает.

Comments

[Никита Гущин]

Я не точно выразился - " &((int*)f)[3]" - компилируется, но на выходе в дизассемблере получаем:
debag сборка:
mov eax,4
imul eax,eax,3
add eax,000411104 - адрес функции f
release сборка:
mov eax,000401060 - адрес функции f
add eax,00C

Т.е. он автоматически не складывает &f+3, как в случае с константой.

[Никита Гущин]

А по поводу вашего "Сложная конструкция должна выглядеть вот так:" - тоже прошу прощения, именно так я ее и компилировал, а (f+3) - действительно выдавал ошибку..

[jcmvbkbc]

> Т.е. он автоматически не складывает &f+3, как в случае с константой.
А что в конфигурации release?

[Никита Гущин]

@jcmvbkbc Я писал выше:
> release сборка:
> mov eax,000401060 - адрес функции f
> add eax,00C
00401060 - прямой адрес функции f, далее прибавляем 12: (sizeof int = 4)*3.
А я хочу чтобы было:
mov eax,00040106C - т.е. чтобы 000401060+00C сразу посчитал компилятор

[Никита Гущин]

@jcmvbkbc О! Я, кажется, нашел решение!) Я сделал указатель - глобальной переменной (а не локальной, как было до этого) и все получилось!