zoukankan      html  css  js  c++  java
  • 如何反汇编获知dll中函数的参数

    我们有时拿到别人的一个DLL,想调用其中一些功能,却没有.h文件或LIB文件,用Depends之类的软件,只能看到DLL中的输出函数名,却看不到函数中的传递参数。今天在网上看到这样一篇文件,理论上讲是可以分析出参数的(元宝以为用Ollydbg效果会更好):


    可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。
    现在使用W32DSM来具体说明:
    1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。
    它可以直接定位到该函数。
    2。看准该函数的入口,一般函数是以以下代码作为入口点的。
    push ebp
    mov ebp
    , esp

    3。然后往下找到该函数的出口,一般函数出口有以下语句。

    ret xxxx
    ;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
    就是参数的个数。
    其中参数存放的地方:
    ebp
    +08 //第一个参数
    ebp
    +0C //第二个参数
    ebp
    +10 //第三个参数
    ebp
    +14 //第四个参数
    ebp
    +18 //第五个参数
    ebp
    +1C //第六个参数
    。。。。
    -------------------------------------------
    还有一种经常看到的调用方式:
    sub esp
    ,xxxx //开头部分
    //函数的内容
    。。。
    //函数的内容
    add esp
    ,xxxx
    ret 
    //结尾部分
    其中xxxx
    /4的结果也是参数的个数。
    -------------------------------------------------
    还有一种调用方式:
    有于该函数比较简单,没有参数的压栈过程,
    里面的
    esp
    +04就是第一个参数
    esp
    +08就是第二个参数
    。。。
    esp
    +xx就是第xx/4个参数
    你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
    ----------------------------------------------
    到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
    最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令
    来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
    如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
    如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。对于以上的分析,本人只其到了抛砖引玉,
    希望对大家有点用处。



    昨天已经简单的告诉大家,怎么知道接口的参数个数了,以及简单的接口。由于编译器的优化原因,
    可能有的参数没有我前面说的那么简单,今天就让我再来分析一下的DLL的调用的接口。如果在该DLL的
    某个函数中,有关于API调用的话,并且调用API的参数整好有一个或多个是该DLL函数的参数的话。
    那么就可以很容易的知道该DLL函数的参数了。
    举例说明:以下汇编代码通过W32DSM得到。
    Exported fn
    (): myTestFunction - Ord:0001h
    :
    10001010 8B442410 mov eax, dword ptr [esp+10]
    :
    10001014 56 push esi
    :
    10001015 8B74240C mov esi, dword ptr [esp+0C]
    :
    10001019 0FAF742410 imul esi, dword ptr [esp+10]
    :1000101E 85C0 test eax
    , eax
    :
    10001020 7414 je 10001036
    :
    10001022 8B442418 mov eax, dword ptr [esp+18]
    :
    10001026 8B4C2408 mov ecx, dword ptr [esp+08]
    :1000102A 6A63 push 
    00000000
    :1000102C 
    50 push eax
    :1000102D 
    51 push ecx
    :1000102E 6A00 push 
    00000000

    * Reference T USER32
    .MessageBoxA, Ord:01BEh
    |
    :
    10001030 FF15B0400010 Call dword ptr [100040B0]

    * Referenced by a 
    (U)nconditional or (C)onditional Jump at Address:
    |:
    10001020(C)
    |
    :
    10001036 8BC6 mov eax, esi
    :
    10001038 5E pop esi
    :
    10001039 C3 ret
    -------------------------------------------------------
    其中myTestFunction是需要分析的函数,它的里面调用了USER32
    .MessageBoxA
    这个函数计算参数个数的时候要注意了,它不是0X18
    /4的结果,原因是程序入口
    的第二条语句又PUSH了一下,PUSH之前的ESP
    +10就是第4个参数,就是0x10/4 =4
    PUSH之后的语句ESP
    + XX,
    其中(XX-
    4/4才对应于第几个参数。
    ESP
    +0C ==第2个参数
    ESP
    +10 ==第3个参数
    ESP
    +18 ==第5个参数
    ESP
    +08 ==第1个参数
    ----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,
    PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,
    由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器
    是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,
    long myTestFunction
    (long p1,long p2,long p3,long p4,long p5);
    但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数
    多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的
    参数呢?请看下面分析:
    你有没有看到* Reference T USER32
    .MessageBoxA, Ord:01BEh这一条语句,
    这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:
    int MessageBox
    (
    HWND hWnd
    , // handle of owner window
    LPCTSTR lpText
    , // address of text in message box
    LPCTSTR lpCaption
    , // address of title of message box
    UINT uType 
    // style of message box
    );
    它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程
    翻译为伪ASM就是:
    PUSH uType
    PUSH lpCaption
    PUSH lpText
    PUSH hWnd
    CALL MessageBox
    ---------------------------------------
    我们把这个于上面的语句对应一下,就可以清楚的知道
    hWnd 
    = NULL(0)
    lpText 
    = ecx
    lpCaption 
    = eax
    uType 
    = MB_OK(0)
    ---------------------------------
    在往上面看,
    原来 EAX 中的值是ESP
    +18中的内容得到了
    ECX 中的值是ESP
    +08中的内容得到了

    那么到现在为止就可以知道
    lpText 
    = ECX = [ESP+08==第1个参数
    lpCaption 
    = EAX = [ESP+18==第5个参数

    现在我们可以把该DLL函数接口进一步写成:
    long myTestFunction
    (LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

    至于第3个参数ESP
    +10,然后找到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。
    因为imul是乘法指令,我们可以肯定是把ESP
    +10假设位long是不会错的,同理可以知道第2个参数esp+0C
    肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,
    mov eax
    , dword ptr [esp+10]
    test eax
    , eax
    je 
    10001036
    看到这个参数的用法了吗?
    把它翻译位C语言就是:
    if(p3)
    {
    //做je 10001036下面的那些指令
    }
    return ;
    到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。

    好了,到现在位置可以把正确的接口给列出来了:
    long myTestFunction
    (LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);
    哈哈,现在成功了!!!


    long CryptExtOpenCER
    (long p1,long p2,LPCSTR p3,long p4);
    其中第3个参数可能是文件名称,
    或者是PCERT_BLOB
    它有CERT_QUERY_OBJECT_FILE,或者是CERT_QUERY_OBJECT_BLOB来决定。
    ---------------------------------------------------------------
    今天想到了一个很好的办法,来解决参数的问题,不过有一定难度。
    1。根据以前讲的各种方法,可以很快速的知道参数的个数,假设该函数
    名称为MyTestFunc
    ,参数的个数为3个。
    于是可以定义如下:
    long MyTestFunc
    (long p1,long p2,long p3);
    2。安装一个HOOK(DLL)
    3。通过别的程序调用,触发HOOK,调试到HOOK里面,就可以很清楚的知道
    调用的参数,数值。
    -------------
    此方法本人还没有去实现,相信肯定是可以的。这样得到的参数应该相当准确。
  • 相关阅读:
    问题汇总
    Spring boot开发过程遇到的一些小问题
    Java 7 新特性
    I2C总线协议详解
    画布分割算法
    nordic __noinit__变量使用
    RTOS事件组使用流程
    RTOS软件定时器的使用
    RTOS互斥信号量的使用流程
    RTOS优先级翻转
  • 原文地址:https://www.cnblogs.com/yuanbao/p/1144852.html
Copyright © 2011-2022 走看看