注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

王小二的博客

勤俭以修身,淡泊以明志

 
 
 

日志

 
 

查看dll接口的函数与参数  

2012-04-17 22:36:36|  分类: VC++ |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
如何获知DLL中函数的参数--转贴自CSDN(BCB)   
这篇文章是转贴的,不要问我具体的实现方法。   
可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。   
现在使用W32DSM来具体说明:   
1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。   
它可以直接定位到该函数。   
2。看准该函数的入口,一般函数是以以下代码作为入口点的。   
push   ebp   
mov   ebp,   esp   
...   
3。然后往下找到该函数的出口,一般函数出口有以下语句。   
...   
ret   xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果   
就是参数的个数。   
其中参数存放的地方:   
ebp+08   //第一个参数   
ebp+0C   //第二个参数   
ebp+10   //第三个参数   
ebp+14   //第四个参数   
ebp+18   //第五个参数   
ebp+1C   //第六个参数   
。。。。   
-------------------------------------------   
还有一种经常看到的调用方式:   
sub   esp,xxxx   //开头部分   
//函数的内容   
。。。   
//函数的内容   
add   esp,xxxx   
ret   //结尾部分   
其中xxxx/4的结果也是参数的个数。   
-------------------------------------------------   
还有一种调用方式:   
有于该函数比较简单,没有参数的压栈过程,   
里面的   
esp+04就是第一个参数   
esp+08就是第二个参数   
。。。   
esp+xx就是第xx/4个参数   
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。   
----------------------------------------------   
到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。   
最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令   
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,   
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。   
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。对于以上的分析,本人只其到了抛砖引玉,   
希望对大家有点用处。   
昨天已经简单的告诉大家,怎么知道接口的参数个数了,以及简单的接口。由于编译器的优化原因,   
可能有的参数没有我前面说的那么简单,今天就让我再来分析一下的DLL的调用的接口。如果在该DLL的   
某个函数中,有关于API调用的话,并且调用API的参数整好有一个或多个是该DLL函数的参数的话。   
那么就可以很容易的知道该DLL函数的参数了。   
举例说明:以下汇编代码通过W32DSM得到。   
Exported   fn():   myTestFunction   -   Ord:0001h   
:10001010   8B442410   mov   eax,   dword   ptr   [esp+10]   
:10001014   56   push   esi   
:10001015   8B74240C   mov   esi,   dword   ptr   [esp+0C]   
:10001019   0FAF742410   imul   esi,   dword   ptr   [esp+10]   
:1000101E   85C0   test   eax,   eax   
:10001020   7414   je   10001036   
:10001022   8B442418   mov   eax,   dword   ptr   [esp+18]   
:10001026   8B4C2408   mov   ecx,   dword   ptr   [esp+08]   
:1000102A   6A63   push   00000000   
:1000102C   50   push   eax   
:1000102D   51   push   ecx   
:1000102E   6A00   push   00000000   
*   Reference   To:   USER32.MessageBoxA,   Ord:01BEh   
|   
:10001030   FF15B0400010   Call   dword   ptr   [100040B0]   
*   Referenced   by   a   (U)nconditional   or   (C)onditional   Jump   at   Address:   
|:10001020(C)   
|   
:10001036   8BC6   mov   eax,   esi   
:10001038   5E   pop   esi   
:10001039   C3   ret   
-------------------------------------------------------   
其中myTestFunction是需要分析的函数,它的里面调用了USER32.MessageBoxA   
这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口   
的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4   =4   
PUSH之后的语句ESP+   XX,   
其中(XX-4)/4才对应于第几个参数。   
ESP+0C   ==第2个参数   
ESP+10   ==第3个参数   
ESP+18   ==第5个参数   
ESP+08   ==第1个参数   
----------------------------这样共计算出参数的个数是5个,注意PUSH   esi之前与PUSH   esi之后,   
PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,   
由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器   
是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,   
long   myTestFunction(long   p1,long   p2,long   p3,long   p4,long   p5);   
但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数   
多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的   
参数呢?请看下面分析:   
你有没有看到*   Reference   To:   USER32.MessageBoxA,   Ord:01BEh这一条语句,   
这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:   
int   MessageBox(   
HWND   hWnd,   //   handle   of   owner   window   
LPCTSTR   lpText,   //   address   of   text   in   message   box   
LPCTSTR   lpCaption,   //   address   of   title   of   message   box   
UINT   uType   //   style   of   message   box   
);   
它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程   
翻译为伪ASM就是:   
PUSH   uType   
PUSH   lpCaption   
PUSH   lpText   
PUSH   hWnd   
CALL   MessageBox   
---------------------------------------   
我们把这个于上面的语句对应一下,就可以清楚的知道   
hWnd   =   NULL(0)   
lpText   =   ecx   
lpCaption   =   eax   
uType   =   MB_OK(0)   
---------------------------------   
在往上面看,   
原来   EAX   中的值是ESP+18中的内容得到了   
ECX   中的值是ESP+08中的内容得到了   
那么到现在为止就可以知道   
lpText   =   ECX   =   [ESP+08]   ==第1个参数   
lpCaption   =   EAX   =   [ESP+18]   ==第5个参数   
现在我们可以把该DLL函数接口进一步写成:   
long   myTestFunction(LPCTSTR   lpText,long   p2,long   p3,long   p4,LPCTSTR   lpCaption);   
至于第3个参数ESP+10,然后找到该参数使用的地方,imul   esi,   dword   ptr   [esp+10]有这么一条指令。   
因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C   
肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,   
mov   eax,   dword   ptr   [esp+10]   
test   eax,   eax   
je   10001036   
看到这个参数的用法了吗?   
把它翻译位C语言就是:   
if(p3)   
{   
//做je   10001036下面的那些指令   
}   
return   ;   
到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。   
好了,到现在位置可以把正确的接口给列出来了:   
long   myTestFunction(LPCTSTR   lpText,long   n1,char   *pIsNull,long   n2,LPCTSTR   lpCaption);   
哈哈,现在成功了!!!   
long   CryptExtOpenCER(long   p1,long   p2,LPCSTR   p3,long   p4);   
其中第3个参数可能是文件名称,   
或者是PCERT_BLOB   
它有CERT_QUERY_OBJECT_FILE,或者是CERT_QUERY_OBJECT_BLOB来决定。   
---------------------------------------------------------------   
今天想到了一个很好的办法,来解决参数的问题,不过有一定难度。   
1。根据以前讲的各种方法,可以很快速的知道参数的个数,假设该函数   
名称为MyTestFunc,参数的个数为3个。   
于是可以定义如下:   
long   MyTestFunc(long   p1,long   p2,long   p3);   
2。安装一个HOOK(DLL)   
3。通过别的程序调用,触发HOOK,调试到HOOK里面,就可以很清楚的知道   
调用的参数,数值。   
-------------   
此方法本人还没有去实现,相信肯定是可以的。这样得到的参数应该相当准确。     
  评论这张
 
阅读(5060)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017