为什么函数使用存储在虚方法表中的地址调用虚函数返回垃圾?

问题描述 投票:1回答:3

我正在从虚拟表中的地址调用虚函数作为练习,以测试我对该概念的理解。但是,一旦我认为我在理解虚拟方法表时取得了突破,我就遇到了另一个我不明白的问题。

在下面的代码中,我创建了一个名为Car的类,它包含一个成员变量x和两个虚函数,第一个和第二个。现在,我通过黑客攻击虚拟表来调用这两个虚拟方法。第一个函数返回正确的答案,但第二个函数返回一些随机值或垃圾,而不是它初始化的内容。

#include <cstdio>

class Car
{
private:
    int x;

    virtual int first()
    {
        printf("IT WORKS!!\n");
        int num = 5;
        return num;
    }
    virtual int second()
    {
        printf("IT WORKS 2!!\n");
        //int num  = 5;
        return x;
    }


public:

    Car(){
        x = 2;
    }
};

int main()
{
    Car car;
    void* carPtr = &car;
    long **mVtable =(long **)(carPtr);

    printf("VTable: %p\n", *mVtable);
    printf("First Entry of VTable: %p\n", (void*) mVtable[0][0]);
    printf("Second Entry of VTable: %p\n", (void*) mVtable[0][1]);

    if(sizeof(void*) == 8){
        printf("64 bit\n");
    }

    int (*firstfunc)() = (int (*)()) mVtable[0][0];
    int x = firstfunc();    

    int (*secondfunc)() = (int (*)()) mVtable[0][1];
    int x2 = secondfunc();

    printf("first: %d\nsecond: %d", x, x2);
    return 0;
}

如果有人可以指出我做错了什么,我将不胜感激。此外,由于这在编译器中的工作方式不同,我使用c ++ 14在http://cpp.sh/上测试它。

该代码输出,其中“垃圾”第二输出可能会发生变化:

VTable: 0x400890
First Entry of VTable: 0x400740
Second Entry of VTable: 0x400720
64 bit
IT WORKS!!
IT WORKS 2!!
first: 5
second: -888586240 
c++ c++14 member-function-pointers virtual-method virtual-table
3个回答
2
投票

方法是函数,但方法指针通常不是函数指针。

调用方法的调用约定并不总是与调用函数的调用约定一致。

我们可以解决这个问题。还有更多未定义的行为,但至少有时会起作用。

MSVC clang g++

码:

template<class Sig>
struct fake_it;

template<class R, class...Args>
struct fake_it<R(Args...)>{
    R method(Args...);

    using mptr = decltype(&fake_it::method);
};
template<class R, class...Args>
struct fake_it<R(Args...) const> {
    R method(Args...) const;

    using mptr = decltype(&fake_it::method);
};

template<class Sig>
using method_ptr = typename fake_it<Sig>::mptr;

template<class Sig>
struct this_helper {
    using type=fake_it<Sig>*;
};
template<class Sig>
struct this_helper<Sig const>{
    using type=fake_it<Sig> const*;
};

template<class Sig>
using this_ptr = typename this_helper<Sig>::type;

现在这个测试代码:

Car car;
void* carPtr = &car;
auto **mVtable = (uintptr_t **)(carPtr);
printf("VTable: %p\n", *mVtable);
printf("First Entry of VTable: %p\n", (void*)mVtable[0][0]);
printf("Second Entry of VTable: %p\n", (void*)mVtable[0][1]);

if(sizeof(void*) == 8){
    printf("64 bit\n");
}

auto firstfunc = to_method_ptr<int()>(mVtable[0][0]);
int x = (this_ptr<int()>(carPtr)->*firstfunc)();    

auto secondfunc = to_method_ptr<int()>(mVtable[0][1]);
int x2 = (this_ptr<int()>(carPtr)->*secondfunc)();

printf("first: %d\nsecond: %d", x, x2);

上面的代码依赖于方法指针是一对函数指针和第二个部分,如果所有0都是非虚拟分派,则vtable只包含函数指针组件。

因此,我们可以通过用0填充缓冲区来重构vtable中数据的方法指针,然后将内存解释为方法指针。

为了使调用工作,我们使用与我们的签名匹配的方法创建一个伪类型,然后将指针强制转换为该类型,并使用从原始类型的vtable重建的成员函数指针调用它。

我们希望,这模仿编译器用于其他方法调用的调用约定。


在clang / g ++中,非虚方法指针是两个指针,第二个指针被忽略。我相信,虚方法指针使用第二个指针大小的数据。

在MSVC中,非虚方法指针是一个指针的大小。具有虚拟继承树的虚方法指针不是一个指针的大小。我认为这违反了标准(要求成员指针之间可以互换)。

在这两种情况下,vtable似乎都存储了每个非虚方法指针的前半部分。


6
投票

方法确实通常实现为常规函数,但是它们需要接收this指针来访问特定实例的数据 - 事实上,当您在实例上调用方法时,指向实例的指针将作为隐藏参数传递。

在你的代码中你没有传入它,所以该方法只返回垃圾 - 它可能正在使用发生在寄存器或堆栈中的任何事情,就像它是实例指针一样;你很幸运,它没有明显崩溃。

您可以尝试更改原型以接受Car*参数并将&car传递给它,但它可能或可能不起作用,具体取决于编译器/平台使用的调用约定:

  • 例如,在Win32 / x86 / VC ++上,方法使用stdcall调用约定(或cdecl用于可变参数),但在this中接收ecx指针,这是你不能通过常规函数调用模拟的;
  • 另一方面,x86 gcc只是将它们作为cdecl函数处理,隐式传递this,就像它是最后一个参数一样。

0
投票

设置x = 2的构造函数在将函数指针直接调用到vtable时不会运行。你将从second返回未初始化的内存,这可能是任何东西。

© www.soinside.com 2019 - 2024. All rights reserved.