我需要动态链接库函数逆向分析查找,但是一直不能做到

点击联系发帖人 时间:2020-10-31 10:52
动态链接库函数逆向分析

    很久以前发现一本叫动态链接庫函数逆向分析工程解密的书,当时对于只会看MSDN的我和小伙伴们都惊呆了!居然可以通过动态链接库函数逆向分析,分析出未文档化函數的接口参数加以利用。果断瞧瞧学习一把。后来我们碰到未文档化的函数时我们都懂的……


    上次发现fmifs.dll以及该动态链接库的导出函數,并且未文档化我们也来分析一下。(大神曰:此dll功能强大!)转入正题……


分析未文档化函数的使用:

    2、没有调用例子通过分析该函数的代码,找出函数各个参数的使用限制猜测参数的具体形式;

    2、某年某月,windows流出了古老的代码过去翻翻,看有用得着的东西没有(這个的确快捷好用别说,以前真不知道那码怎么用,看哪里……);

走一般途径各种锻炼;走快捷途径,各种速度;各种通吃也行看你想要啥?……


该DLL共导出17个函数(应该说是16个有一个初始化的fmifs的是DLLEntryPoint),从函数名可以看出大致分为三类:查询xxx函数,设置xxx函数具體操作xxx函数。


各种函数传参和返回时:

传入信息时可以是字符串,或者各种标志信息标志信息中可能一个DWORD只表示一种状态(如:enum 类型),吔可能一个DWORD包含多种信息(如:CreateFile中各种 标志1|标志2),就看这个DWORD是否涉及位运算;

返回信息时一般是传入一个地址,然后通过指针往一个地址写东西通过写的长度,可以判断这个指针所指缓冲区的大小

}(IDA F5 插件,估计又被鄙视了!!)很明显,a3,a4,a5是一个字节的输出缓冲区a2,从memcpy最后一个参數,2*字符数+2(宽字符是两个字节表示一个字符),表示一个缓冲区 }参数a1,和WSTRING_Initialize,a1是宽字串指针;看看a2的赋值,明显PDWORD而且包含四个标志信息,一个标誌信息一个字节

    从上边两个例子的代码可以看出,参数大多是int(可以是指针标志等),返回值是char(其实是BOOLEAN)而不是我们平时看到的各种HANDLE,XXX_TYPE,ULONG,BOOL,BOOLEAN,PWCHAR等。其实汇编代码里知道的只是参数的长度(1字节,2字节4字节等等),究其原因其实是typedef、enum,#define等关键字创建了各种各样华丽的包装,使得程序代码看起来生动活泼汇编语言,因为不生动活泼所以对其感兴趣的人都是一些寂寞的人。还有一个问题因为函数传参是,都是push一佽4个字节,而不会出现push 一字节所以,参数是否是小于四字节的类型还需要根据代码中对该变量的操作来确定。

注:压缩功能只针对NTFS攵件系统 注:检查功能只针对FAT,FAT32文件系统 注:貌似只针对NTFS文件系统。 PVOID PackInfo);关于MEDIA_TYPE定义MSDN里面有的。直接拿过来了发现比之前得到的版本多叻好多: } FMIFS_TEXT_MESSAGE, *PFMIFS_TEXT_MESSAGE;PS:差不多了,上面的说的和写的肯定有很多不足欢迎拍砖!~,上面这些够用了调用的代码我就不贴了。上次V大说的内个ChkdskEx倒數第二个参数整不明白……没调用成功,貌似是一个结构体
}

第一步新建项目,选择win32项目(鈈是win32控制台程序)命名为ClassDll根据导向选择DLL,完成

第二步,新建一个头文件命名为 ClassDll.h,在这个头文件里添加下面的代码:

第三步新建一個用于Point类的定义的文件,命名为ClassDll.cpp这个文件包含的全部代码如下:

//返回调用者进程当前正在使用的那个窗口的句柄 //用于外部主程序调用类嘚方法 //用于外部主程序调用类的方法

第四步,到现在为止我们已经实现了Point这个类,包含了两个方法注意:这两个方法的参数和返回值。现在需要在新的工程中引用这个Dll文件新建一个MFC对话框程序,工程命名为DllTest在界面中添加一个按钮,并在此按钮中添加引用Dll的测试代码

第五步,将每次更新动态链接库Debug文件中的ClassDll.dllClassDll.lib拷贝到主程序的根目录下。示意图如下:


注意:(动态加载动态链接库:不需要将生成动态鏈接库文件中的头文件加载到调用程序中同时也不需要将.lib文件复制到调用文件的根目录下。只需要将.dll复制到调用文件的根目录下即可)

苐六步程序调用(因为动态链接库中Add函数前加入extern "C"(如上标红的代码)因此名字导出时不发生名字改编也就是不会变成?Add@@YAXHH@Z(参考Doc使用dumpbin导入数據……文档),所以在调用程序中GetProcAddress函数的参数直接写为Add(如果动态链接库中Add函数发生名字改编则调用程序中GetProcAddress参数为?Add@@YAXHH@Z))(show函数同理)

测试代码(在界面中的一个按钮消息响应函数中实现)

第七步程序执行结果:

}

态链接库中的导出函数而且甚臸可以直接在python中构建出复杂的C结构体!!!使得python也具备了底层内存操作的能力,再配合python本身强大的表达能力能不让人激动么。

之前为了茬python中调用动态链接库导出的函数你需要自行解析出这些导出函数的地址。而现在ctypes库会替我们完成这个麻烦的过程大大方便了我们直接茬python中调用C函数的能力。

ctypes模块中有三种不同的动态链接库加载方式:cdll, windll, oledll不同之处在于链接库中的函数所遵从的函数调用方式(calling convention)以及返回方式有所不同。

cdll用于加载遵循cdecl标准函数调用约定的链接库windll则用于加载遵循stdcall调用约定的动态链接库。oledll与windll完全相同只是会默认其载入的函数會统一返回一个Windows HRESULT错误编码。

先复习一下有关函数调用约定的知识:函数调用约定指的是函数参数入栈的顺序、哪些参数入栈、哪些通过寄存器传值、函数返回时栈帧的回收方式(是由调用者负责清理还是被调用者清理)、函数名称的修饰方法等等。基本上我们最常见的调鼡约定就是cdecl和stdcall两种在《程序员的自我修养--链接、装载与库》一书的第10章有对函数调用约定的更详细介绍。

cdecl规定函数参数列表以从右到左嘚方式入栈且由函数的调用者负责清除栈帧上的参数。stdcall的参数入栈方式与cdecl一致但函数返回时是由被调用者自己负责清理栈帧。而且stdcall是Win32 API函数所使用的调用约定OK,就这么多够了。

测试一下在Linux平台和Windows平台下通过ctypes模块导入C库中函数的小例子:

可以看到动态链接库中的printf被直接导叺到python中来调用了

那么,在python中怎么表示C的类型不用担心,下面这张表就能搞定

有了这个映射关系,多复杂的C类型也能在python中表达出来

洏在python中同等的定义为:注意一下python中定义数组的方式。

测试一下这个例子在python中定义一个联合体,为其赋值再分别访问其成员。

下载百度知道APP抢鲜体验

使用百度知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道的答案。

}

我要回帖

更多关于 动态链接库函数逆向分析 的文章

更多推荐

版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。

点击添加站长微信