如何通过C语言实现函数指针的内存虚拟地址获取、符号解析与地址转换的实战技巧?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1115个文字,预计阅读时间需要5分钟。
在C++中,对普通函数名称使用``标签。
常见错误现象:&std::string::size 编译失败,&foo 在 Release 下取出来是 0 或报错——本质是函数被内联或未实例化。
- 确保函数有定义(不只是声明),且不在头文件中仅以 inline/constexpr 形式存在
- 在 GCC/Clang 中加
-fno-inline -O0测试;MSVC 加/Ob0 /Od - 成员函数需用
static_cast转成函数指针类型,例如:auto p = reinterpret_cast<void>(+[](int){});</void>不行,要用static_cast<void>([](int){})</void>(仅限捕获为空的 lambda)
获取符号地址必须依赖链接时信息,运行时无法“查名字得地址”
像 dlsym(RTLD_DEFAULT, "malloc") 这种行为,本质是动态链接器在运行时查符号表(.dynsym 或 .symtab),它只对**导出符号(ELF 的 STB_GLOBAL + SHF_ALLOC)** 有效。C++ 普通函数默认不导出,g++ 编译的可执行文件默认不带完整符号表(strip 后更无)。
所以别指望在自己的 main 程序里靠函数名字符串去“解析”出地址——没有运行时符号解析器支持,addr2line 和 nm 是离线工具,不是 API。
立即学习“C++免费学习笔记(深入)”;
- 若真要按名查地址,得自己维护一张
std::map<:string void></:string>显式注册,比如funcs["my_init"] = reinterpret_cast<void>(&my_init);</void> - Linux 下可用
dladdr反查已知地址对应的符号名(单向),但不能反向 - Windows 上
GetProcAddress(GetModuleHandle(nullptr), "MyFunc")仅对__declspec(dllexport)函数有效,且要求函数名未被 C++ name mangling 扰乱(需extern "C")
虚函数地址不能直接取,得从虚表中读取
类的虚函数地址不是 &MyClass::virtual_func,那个表达式本身不合法(C++ 标准禁止取非静态成员函数地址而不绑定对象)。实际调用时,编译器会从对象的虚表(vtable)中加载对应偏移处的函数指针。
这意味着:想拿到某个虚函数的真实地址,你得先构造一个对象,再手动读它的 vptr 指向的内存(注意平台 ABI 差异)。
- x86-64 Linux/GCC 下,vtable 是全局数据段中的一组函数指针数组,第一个通常是析构函数,第二个开始才是虚函数
- 示例(不跨平台,仅演示思路):
uintptr_t* vptr = *reinterpret_cast<uintptr_t**>(&obj); void* vf_addr = reinterpret_cast<void*>(vptr[1]); // 假设第 1 个是目标虚函数
- 这种操作极易因编译器版本、继承关系、vtordisp 等失效,仅适合调试或 hook 场景,生产代码应避免
地址有效性只在当前进程生命周期内成立,别存盘或跨进程传
函数指针的数值是进程虚拟地址,受 ASLR 影响,每次启动都可能不同。把它写进日志、存数据库、或者通过 socket 发给另一个进程,都是无效的。
真正需要持久化“函数身份”的场景(如插件系统、序列化回调),应该用字符串 ID + 注册表映射,而不是裸地址。
- ASLR 开启时,即使同一台机器、同一二进制,
&main的值每次运行都不同 -
/proc/self/maps可验证:text 段起始地址随每次 execve 变化 - Windows 上
GetModuleInformation查到的基址也每次不同,除非禁用 ASLR(不推荐)
C++ 函数地址看似简单,但混淆点全在“谁在控制符号可见性”和“地址何时被确定”——编译期决定布局,链接期决定符号导出,加载期决定最终虚拟地址。漏掉任一环,&func 就可能是个陷阱。
本文共计1115个文字,预计阅读时间需要5分钟。
在C++中,对普通函数名称使用``标签。
常见错误现象:&std::string::size 编译失败,&foo 在 Release 下取出来是 0 或报错——本质是函数被内联或未实例化。
- 确保函数有定义(不只是声明),且不在头文件中仅以 inline/constexpr 形式存在
- 在 GCC/Clang 中加
-fno-inline -O0测试;MSVC 加/Ob0 /Od - 成员函数需用
static_cast转成函数指针类型,例如:auto p = reinterpret_cast<void>(+[](int){});</void>不行,要用static_cast<void>([](int){})</void>(仅限捕获为空的 lambda)
获取符号地址必须依赖链接时信息,运行时无法“查名字得地址”
像 dlsym(RTLD_DEFAULT, "malloc") 这种行为,本质是动态链接器在运行时查符号表(.dynsym 或 .symtab),它只对**导出符号(ELF 的 STB_GLOBAL + SHF_ALLOC)** 有效。C++ 普通函数默认不导出,g++ 编译的可执行文件默认不带完整符号表(strip 后更无)。
所以别指望在自己的 main 程序里靠函数名字符串去“解析”出地址——没有运行时符号解析器支持,addr2line 和 nm 是离线工具,不是 API。
立即学习“C++免费学习笔记(深入)”;
- 若真要按名查地址,得自己维护一张
std::map<:string void></:string>显式注册,比如funcs["my_init"] = reinterpret_cast<void>(&my_init);</void> - Linux 下可用
dladdr反查已知地址对应的符号名(单向),但不能反向 - Windows 上
GetProcAddress(GetModuleHandle(nullptr), "MyFunc")仅对__declspec(dllexport)函数有效,且要求函数名未被 C++ name mangling 扰乱(需extern "C")
虚函数地址不能直接取,得从虚表中读取
类的虚函数地址不是 &MyClass::virtual_func,那个表达式本身不合法(C++ 标准禁止取非静态成员函数地址而不绑定对象)。实际调用时,编译器会从对象的虚表(vtable)中加载对应偏移处的函数指针。
这意味着:想拿到某个虚函数的真实地址,你得先构造一个对象,再手动读它的 vptr 指向的内存(注意平台 ABI 差异)。
- x86-64 Linux/GCC 下,vtable 是全局数据段中的一组函数指针数组,第一个通常是析构函数,第二个开始才是虚函数
- 示例(不跨平台,仅演示思路):
uintptr_t* vptr = *reinterpret_cast<uintptr_t**>(&obj); void* vf_addr = reinterpret_cast<void*>(vptr[1]); // 假设第 1 个是目标虚函数
- 这种操作极易因编译器版本、继承关系、vtordisp 等失效,仅适合调试或 hook 场景,生产代码应避免
地址有效性只在当前进程生命周期内成立,别存盘或跨进程传
函数指针的数值是进程虚拟地址,受 ASLR 影响,每次启动都可能不同。把它写进日志、存数据库、或者通过 socket 发给另一个进程,都是无效的。
真正需要持久化“函数身份”的场景(如插件系统、序列化回调),应该用字符串 ID + 注册表映射,而不是裸地址。
- ASLR 开启时,即使同一台机器、同一二进制,
&main的值每次运行都不同 -
/proc/self/maps可验证:text 段起始地址随每次 execve 变化 - Windows 上
GetModuleInformation查到的基址也每次不同,除非禁用 ASLR(不推荐)
C++ 函数地址看似简单,但混淆点全在“谁在控制符号可见性”和“地址何时被确定”——编译期决定布局,链接期决定符号导出,加载期决定最终虚拟地址。漏掉任一环,&func 就可能是个陷阱。