【Viusal Studio】关于增量链接机制

欧恩意2025-12-05 10:39

概述:Visual Studio 中增量链接(Incremental Linking)的机制与使用问题,使用中遇到的一些问题,简单记录一下

经验丰富的开发、Windows开发可忽略此文

问题描述

注入程序注入的 ShellCode 始终会报错,导致目标程序异常然后终止

场景描述

启用增量链接的情况下,编译如下代码,向目标进程中写入了要执行的函数的 ShellCode,代码逻辑如下所示:

cpp 复制代码 
// 省略打开目标进程、申请内存的相关
...
// 要执行的函数
void TargetMessageBox()
{
	reutrn MessageBox(NULL,"你好,我是LCR","提示",MB_OK);
}
...
DWORD dwShellcodeBegin = (DWORD)TargetMessageBox();
...

// 这里直接写入目标函数

WriteProcessMemory(ProcessHandle, TargetMem, (PVOID)dwShellCodeBegin, dwShellCodeLen, NULL);

// 之后通过 NtCreateThreadEx 或者 CreateRemoteThread 创建远程线程

这里先思考下为什么上述代码注入后执行会异常?

...

问题分析

主要问题还是在于这个增量链接:

  • Visual Studio 默认启用的增量链接会生成跳转表
  • 这是为了允许在后续链接中修改函数地址而不必重新编译整个二进制
  • 编译器会为函数创建跳转指令(jmp stub)而非直接引用实际函数地址

主要的问题在于这行代码:

cpp 复制代码 
DWORD dwShellcodeBegin = (DWORD)TargetMessageBox();

其获取的地址 dwShellCodeBegin 并非是 TargetMessageBox 的真实地址,而是一个中间地址。这里要了解一个概念 跳转表(jmp stub)

跳转表(jmp stub)

跳转表(Jump Stub)是编译器和链接器生成的一种间接跳转机制,主要用于解决函数调用时的地址重定位问题。它本质上是一小段汇编代码,通常由一个无条件跳转指令(JMP)组成。

  • 典型的x86跳转表包含3部分:
    • 操作码:0xE9(近跳转)
    • 4字节偏移量
    • 实际目标地址
  • 跳转表的优缺点
    • 优点:
      • 提高代码灵活性,支持热更新
      • 减少重新链接的时间
      • 实现地址无关代码
    • 缺点:
      • 增加一次间接跳转,轻微性能影响
      • 增加代码复杂度
      • 可能带来安全风险(如跳转表劫持)

了解增量表之后,大概就知道了,上述代码只是获取了一连串 jmp 的内存,基本如下所示:

基本结构为 e9 + 实际要跳转的偏移量

shellcode 复制代码 
0x007DDC45  e9 46 07 06 00  ?F...
0x007DDC4A  e9 51 73 5d 00  ?Qs].
0x007DDC4F  e9 2c c5 56 00  ?,?V.
0x007DDC54  e9 07 4d 18 00  ?.M..
0x007DDC59  e9 92 2b 6a 00  ??+j.
0x007DDC5E  e9 a7 c9 66 00  ???f.
0x007DDC63  e9 78 e4 30 00  ?x?0.
0x007DDC68  e9 a3 db 09 00  ???..
0x007DDC6D  e9 6e a7 0f 00  ?n?..
0x007DDC72  e9 09 ba 06 00  ?.?..
0x007DDC77  e9 c4 c7 10 00  ???..
0x007DDC7C  e9 5f 3c 3a 00  ?_<:.

所以导致注入的 shellcode 在跳转时,跳转了一段无意义的错误地址,进而导致目标进程异常,问题就是这么简单。

解决办法

  1. 关闭增量链接,这是最简单的办法

  2. 获取真实跳转地址,代码也很简单

    cpp 复制代码 
    DWORD GetRealAddress(DWORD apparentAddress) {
	if (*(BYTE*)apparentAddress == 0xE9) { // 检查是否为jmp指令 
	    return apparentAddress + 5 + *(DWORD*)(apparentAddress + 1);
	}
	return apparentAddress; // 如果不是jmp,返回原地址 
}

代码说明

  1. 跳转指令检测
    *(BYTE*)apparentAddress == 0xE9 这行代码:
    apparentAddress 强制转换为 BYTE* 指针
    解引用获取该地址处的第一个字节
    检查该字节是否为 0xE9 (x86近跳转指令的操作码)
  2. 跳转目标计算
    return apparentAddress + 5 + *(DWORD*)(apparentAddress + 1) 这行代码:
    apparentAddress + 5:跳转指令本身占用5个字节(1字节操作码+4字节偏移量)
    *(DWORD*)(apparentAddress + 1):获取跳转指令后的4字节偏移量
    相加得到最终的跳转目标地址
  3. 跳转指令格式
    x86 近跳转指令(E9)的格式:
    E9 xx xx xx xx
    E9:跳转指令操作码
    后跟4字节的有符号偏移量(小端序存储)
    跳转目标 = 下一条指令地址 + 偏移量
相关推荐
凯子坚持 c7 小时前
CANN 性能剖析实战:从原始事件到交互式火焰图
windows·microsoft
开开心心就好7 小时前
发票合并打印工具,多页布局设置实时预览
linux·运维·服务器·windows·pdf·harmonyos·1024程序员节
獨枭7 小时前
PyCharm 跑通 SAM 全流程实战
windows
仙剑魔尊重楼8 小时前
音乐制作电子软件FL Studio2025.2.4.5242中文版新功能介绍
windows·音频·录屏·音乐·fl studio
PHP小志9 小时前
Windows 服务器怎么修改密码和用户名?账户被系统锁定如何解锁
windows
专注VB编程开发20年10 小时前
vb.net datatable新增数据时改用数组缓存
java·linux·windows
仙剑魔尊重楼10 小时前
专业音乐制作软件fl Studio 2025.2.4.5242中文版新功能
windows·音乐·fl studio
rjc_lihui11 小时前
Windows 运程共享linux系统的方法
windows
失忆爆表症12 小时前
01_项目搭建指南:从零开始的 Windows 开发环境配置
windows·postgresql·fastapi·milvus
阿昭L12 小时前
C++异常处理机制反汇编(三):32位下的异常结构分析
c++·windows·逆向工程
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05UV安装并设置国内源06openclaw配置教程(linux+局域网ollama)07Claude Code Skills 实用使用手册08Vue-skills的中文文档09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10使用 1panel面板 部署 php网站