[发明专利]一种函数劫持方法、装置、介质和电子设备

权利要求书

1.一种函数劫持方法，其特征在于，包括：

获取第一内存中第一跳转表的绝对起始地址；其中，所述第一内存包括函数库符号表文件加载后第一函数库符号表占据的内存，所述函数库符号表至少包括跳转表，所述跳转表为预定义的数据结构，且所述跳转表的数据结构中至少包括预定义的被劫持系统函数指针变量，且所述被劫持系统函数指针变量的绝对地址的值为所述被劫持系统函数的入口地址；

基于所述第一跳转表的绝对起始地址和所述第一跳转表的数据结构获取所述被劫持系统函数指针变量的绝对地址；

将预设劫持函数的入口地址写入所述被劫持系统函数指针变量的绝对地址中。

2.根据权利要求1所述的函数劫持方法，其特征在于，所述获取第一内存中第一跳转表的绝对起始地址，包括：

获取所述第一函数库符号表的符号基地址；所述符号基地址为绝对地址；

将所述函数库符号表文件映射到第二内存中，获取第二函数库符号表；

基于所述第二函数库符号表和预定义的函数库全局数据结构获取所述第二跳转表的相对起始地址；其中，所述函数库全局数据结构至少包括预定义的第二跳转表变量；

计算所述符号基地址与所述第二跳转表的相对起始地址的和，获取所述第一跳转表的绝对起始地址。

3.根据权利要求2所述的函数劫持方法，其特征在于，所述基于所述第二函数库符号表和预定义的函数库全局数据结构获取所述第二跳转表的相对起始地址，包括：

基于所述第二函数库符号表和所述函数库全局数据结构的名称获取所述函数库全局数据结构的相对起始地址；

基于所述函数库全局数据结构的相对起始地址和函数库全局数据结构获取所述第二跳转表的相对起始地址。

4.根据权利要求3所述的函数劫持方法，其特征在于，所述基于所述第二函数库符号表和所述函数库全局数据结构的名称获取所述函数库全局数据结构的相对起始地址，包括：

基于所述第二函数库符号表的格式头信息获取分区头信息；

根据预设函数符号分区特征检索所述分区头信息，获取函数符号分区信息；

基于所述函数库全局数据结构的名称检索所述函数符号分区信息，获取所述函数库全局数据结构的相对起始地址。

5.根据权利要求2所述的函数劫持方法，其特征在于，所述获取所述第一函数库符号表的符号基地址，包括：

获取所述第一内存的绝对起始地址以及所述第一函数库符号表的程序头信息；

基于所述程序头信息和所述第一内存的绝对起始地址获取所述符号基地址。

6.根据权利要求1所述的函数劫持方法，其特征在于，所述基于所述第一跳转表的绝对起始地址和所述第一跳转表的数据结构获取所述被劫持系统函数指针变量的绝对地址，包括：

基于所述第一跳转表的数据结构获取所述被劫持系统函数指针变量的第一偏移量；

计算所述第一跳转表的绝对起始地址与所述第一偏移量的和，获取所述被劫持系统函数指针变量的绝对地址。

7.根据权利要求1所述的函数劫持方法，其特征在于，预设劫持函数中包括记录调试对象运行状况的信息和调用所述被劫持系统函数的信息。

8.一种函数劫持装置，其特征在于，包括：

第一获取单元，用于获取第一内存中第一跳转表的绝对起始地址；其中，所述第一内存包括函数库符号表文件加载后第一函数库符号表占据的内存，所述函数库符号表至少包括跳转表，所述跳转表为预定义的数据结构，且所述跳转表的数据结构中至少包括预定义的被劫持系统函数指针变量，且所述被劫持系统函数指针变量的绝对地址的值为所述被劫持系统函数的入口地址；

第二获取单元，用于基于所述第一跳转表的绝对起始地址和所述第一跳转表的数据结构获取所述被劫持系统函数指针变量的绝对地址；

劫持单元，用于将预设劫持函数的入口地址写入所述被劫持系统函数指针变量的绝对地址中。