<![CDATA[一切从C开始]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/combojiang zh-cn www.baidu.com 5 <![CDATA[ring0不调api徒手设置硬件断点[转帖]]]> by flyingkisser
09.2.12
时间比较有限,捡关键的说说

1.如何写dr0,dr7,一般用NtSetContextThread,
为了不调API,这个问题就成了如何定位到指定线程的context,办法是:
先由tid拿到ethread
kthread.InitialStack-29ch就是,如果这个地址无效,就使用ethread->TrapFrame
这时拿到的地址指向结构KTRAP_FRAME,修改它对应的drx就行了。
为什么是_KTHREAD.InitialStack-29ch,自己逆向一下PspGetSetContextSpecialApc就知道了。
xp下是29ch,其它系统没试过

2.设置kthread->DebugActive为1,如果不设置,线程切换时不会把trapframe里的drx写回到线程context中去。
这个问题搞了我很久。

3.硬件断点断下时,1号中断ISR接管控制,这时,你下的断点处的指令并没有执行,你得在恢复所有环境准备返回时,
自己去模拟断点处的指令执行,然后修改返回地址,指向断点的下一条指令处,最后再iretd。所以,选择硬件执行断点时,
最后不要选择像push,pop,jmp,je这样难以模拟的指令。这个问题也困扰了我好几天。

okey,这个方法有点淫荡,至少不用改别人的代码段就可以在你想停下的地方接管控制,也不用调用什么API就可以实现。
检测起来呢,有点麻烦,但不是很难,至少不怕别人hook什么SetContextThread了。 阅读全文
类别:windows内核探索 查看评论]]> 2009-08-04 16:06 http://hi.baidu.com/combojiang/blog/item/cae30e3fd77930cb7c1e7106.html <![CDATA[根据线程ID找出其所在的模块名【转帖】]]> 从硬盘中找出来的一段代码。已不知道原始出处了。贴出来。

#define   WIN32_LEAN_AND_MEAN  
#define   _WIN32_WINNT   0x400  
#include   <stdio.h>  
#include   <tchar.h>  
#include   <locale.h>  
#include   <windows.h>  
#include   <psapi.h>  
#include   <Tlhelp32.h>  

#pragma   comment   (lib,   "psapi.lib")  

//  
//   Thread   Information   Classes  
//  

typedef   enum   _THREADINFOCLASS   {  
ThreadBasicInformation,  
ThreadTimes,  
ThreadPriority,  
ThreadBasePriority,  
ThreadAffinityMask,  
ThreadImpersonationToken,  
ThreadDescriptorTableEntry,  
ThreadEnableAlignmentFaultFixup,  
ThreadEventPair_Reusable,  
ThreadQuerySetWin32StartAddress,  
ThreadZeroTlsCell,  
ThreadPerformanceCount,  
ThreadAmILastThread,  
ThreadIdealProcessor,  
ThreadPriorityBoost,  
ThreadSetTlsArrayAddress,  
ThreadIsIoPending,  
ThreadHideFromDebugger,  
ThreadBreakOnTermination,  
MaxThreadInfoClass  
}   THREADINFOCLASS;  

typedef   struct   _CLIENT_ID   {  
HANDLE   UniqueProcess;  
HANDLE   UniqueThread;  
}   CLIENT_ID;  
typedef   CLIENT_ID   *PCLIENT_ID;  

typedef   struct   _THREAD_BASIC_INFORMATION   {   //   Information   Class   0  
LONG           ExitStatus;  
PVOID         TebBaseAddress;  
CLIENT_ID   ClientId;  
LONG   AffinityMask;  
LONG   Priority;  
LONG   BasePriority;  
}   THREAD_BASIC_INFORMATION,   *PTHREAD_BASIC_INFORMATION;  

extern   "C"   LONG   (__stdcall   *ZwQueryInformationThread)   (  
IN   HANDLE   ThreadHandle,  
IN   THREADINFOCLASS   ThreadInformationClass,  
OUT   PVOID   ThreadInformation,  
IN   ULONG   ThreadInformationLength,  
OUT   PULONG   ReturnLength   OPTIONAL  
)   =   NULL;  


extern   "C"   LONG   (__stdcall   *RtlNtStatusToDosError)   (  
IN     ULONG   status)   =   NULL;  

BOOL   ShowThreadInfo   (DWORD   tid)  
{  
THREAD_BASIC_INFORMATION         tbi;  
PVOID                                               startaddr;  
LONG                                                 status;  
HANDLE                                             thread,   process;  

thread   =   ::OpenThread   (THREAD_ALL_ACCESS,   FALSE,   tid);  
if   (thread   ==   NULL)  
   return   FALSE;  

status   =   ZwQueryInformationThread   (thread,    
   ThreadQuerySetWin32StartAddress,    
   &startaddr,    
   sizeof   (startaddr),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   的起始地址为   %p\n"),    
   tid,    
   startaddr);  

status   =   ZwQueryInformationThread   (thread,    
   ThreadBasicInformation,    
   &tbi,    
   sizeof   (tbi),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   所在进程ID为   %08x\n"),    
   tid,    
   (DWORD)tbi.ClientId.UniqueProcess);  

process   =   ::OpenProcess   (PROCESS_ALL_ACCESS,    
   FALSE,    
   (DWORD)tbi.ClientId.UniqueProcess);  

if   (process   ==   NULL)  
{  
   DWORD   error   =   ::GetLastError   ();  
   CloseHandle   (thread);  
   SetLastError   (error);  
   return   FALSE;  
};  

TCHAR   modname   [0x100];  
::GetModuleFileNameEx   (process,   NULL,   modname,   0x100);  

_tprintf   (TEXT   ("线程   %08x   所在进程映象为   %s\n"),    
   tid,    
   modname);  

GetMappedFileName(process,    
   startaddr,    
   modname,    
   0x100);  

_tprintf   (TEXT   ("线程   %08x   可执行代码所在模块为   %s\n"),    
   tid,    
   modname);  

CloseHandle   (process);  
CloseHandle   (thread);  
return   TRUE;  
};  

int   main   (void)  
{  
setlocale   (LC_ALL,   ".ACP");  

HINSTANCE   hNTDLL   =   ::GetModuleHandle   (TEXT   ("ntdll"));  

(FARPROC&)ZwQueryInformationThread     =  
   ::GetProcAddress   (hNTDLL,   "ZwQueryInformationThread");  

(FARPROC&)RtlNtStatusToDosError           =  
   ::GetProcAddress   (hNTDLL,   "RtlNtStatusToDosError");  

HANDLE   h   =   CreateToolhelp32Snapshot   (TH32CS_SNAPTHREAD,   0);  
THREADENTRY32   te;  
te.dwSize   =   sizeof   (te);  
if   (Thread32First   (h,   &te))  
{  
   do  
   {  
    if   (ShowThreadInfo   (te.th32ThreadID))  
    {  
    }  
    else  
    {  
     _tprintf   (TEXT("无法获得线程   %08x   的相关信息,错误代码为   %d\n"),    
      te.th32ThreadID,   GetLastError   ());  
    };  
   }   while   (Thread32Next   (h,   &te));  
};  
CloseHandle   (h);  
}

阅读全文
类别:windows sdk开发 查看评论]]> 2009-07-19 16:48 http://hi.baidu.com/combojiang/blog/item/8e330b09e55af88bd1581b9d.html <![CDATA[获取线程状态]]>
#include <stdio.h>
#include <windows.h>
#include <winbase.h>
#include <ntsecapi.h>


#define UNICODE
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS              ((NTSTATUS) 0x00000000)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS) 0xC0000004)
#define SystemProcessesAndThreadsInformation    5
#define NTAPI    __stdcall

typedef enum _THREAD_STATE
{
    StateInitialized,
    StateReady,
    StateRunning,
    StateStandby,
    StateTerminated,
    StateWait,
    StateTransition,
    StateUnknown
}THREAD_STATE;

typedef enum _KWAIT_REASON
{
    Executive,
    FreePage,
    PageIn,
    PoolAllocation,
    DelayExecution,
    Suspended,
    UserRequest,
    WrExecutive,
    WrFreePage,
    WrPageIn,
    WrPoolAllocation,
    WrDelayExecution,
    WrSuspended,
    WrUserRequest,
    WrEventPair,
    WrQueue,
    WrLpcReceive,
    WrLpcReply,
    WrVirtualMemory,
    WrPageOut,
    WrRendezvous,
    Spare2,
    Spare3,
    Spare4,
    Spare5,
    Spare6,
    WrKernel,
    MaximumWaitReason
}KWAIT_REASON;

typedef NTSTATUS (WINAPI *PNTRAISE)(NTSTATUS,
                                    ULONG,
                                    ULONG,
                                    PULONG,
                                    UINT,
                                    PULONG);   


typedef LONG NTSTATUS;
typedef LONG    KPRIORITY;

typedef struct _CLIENT_ID {
    DWORD        UniqueProcess;
    DWORD        UniqueThread;
} CLIENT_ID, * PCLIENT_ID;


typedef struct _VM_COUNTERS {
    SIZE_T        PeakVirtualSize;
    SIZE_T        VirtualSize;
    ULONG        PageFaultCount;
    SIZE_T        PeakWorkingSetSize;
    SIZE_T        WorkingSetSize;
    SIZE_T        QuotaPeakPagedPoolUsage;
    SIZE_T        QuotaPagedPoolUsage;
    SIZE_T        QuotaPeakNonPagedPoolUsage;
    SIZE_T        QuotaNonPagedPoolUsage;
    SIZE_T        PagefileUsage;
    SIZE_T        PeakPagefileUsage;
} VM_COUNTERS;


typedef struct _SYSTEM_THREAD_INFORMATION {
    LARGE_INTEGER   KernelTime;
    LARGE_INTEGER   UserTime;
    LARGE_INTEGER   CreateTime;
    ULONG            WaitTime;
    PVOID            StartAddress;
    CLIENT_ID        ClientId;
    KPRIORITY        Priority;
    KPRIORITY        BasePriority;
    ULONG            ContextSwitchCount;
    LONG            State;
    LONG            WaitReason;
} SYSTEM_THREAD_INFORMATION, * PSYSTEM_THREAD_INFORMATION;



typedef struct _SYSTEM_PROCESS_INFORMATION {
    ULONG            NextEntryDelta;
    ULONG            ThreadCount;
    ULONG            Reserved1[6];
    LARGE_INTEGER   CreateTime;
    LARGE_INTEGER   UserTime;
    LARGE_INTEGER   KernelTime;
    UNICODE_STRING ProcessName;
    KPRIORITY        BasePriority;
    ULONG            ProcessId;
    ULONG            InheritedFromProcessId;
    ULONG            HandleCount;
    ULONG            Reserved2[2];
    VM_COUNTERS        VmCounters;
    IO_COUNTERS        IoCounters;
    SYSTEM_THREAD_INFORMATION Threads[5];
} SYSTEM_PROCESS_INFORMATION, * PSYSTEM_PROCESS_INFORMATION;



typedef DWORD (WINAPI* PQUERYSYSTEM)(UINT, PVOID, DWORD,PDWORD);

/************************************************************************/
/* 函数说明:
   参数:dwThreadID 代表线程ID ,这里主要是验证线程的ID
             szProcessName,表示线程所在的进程名

返回值:
       true: 表示线程被挂起
       false: 表示线程正常。

*/
/************************************************************************/

BOOL IsThreadSuspend(DWORD dwThreadID,wchar_t *szProcessName)
{
    ULONG cbBuffer = 0x5000;
   
    BOOL bRet = FALSE;

    LPVOID pBuffer = NULL;
    NTSTATUS Status;


    DWORD b=0;

    PQUERYSYSTEM NtQuerySystemInformation;
    PSYSTEM_PROCESS_INFORMATION pInfo ;

    NtQuerySystemInformation = (PQUERYSYSTEM) GetProcAddress(
        LoadLibrary( "ntdll.dll" ),
        "NtQuerySystemInformation" );

    do
    {
        pBuffer = malloc(cbBuffer);
        if (pBuffer == NULL)
        {
            break;
        }

        Status = NtQuerySystemInformation(
            SystemProcessesAndThreadsInformation,
            pBuffer, cbBuffer, NULL);

        if (Status == STATUS_INFO_LENGTH_MISMATCH)
        {
            free(pBuffer);
            cbBuffer *= 2;
        }
        else if (!NT_SUCCESS(Status))
        {
            free(pBuffer);
        }

    }   while (Status == STATUS_INFO_LENGTH_MISMATCH);


    pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;

    for (;;)
    {


        if (pInfo->NextEntryDelta == 0)
            break;
        if(pInfo->ProcessName.Buffer!=NULL &&
            !_wcsicmp(pInfo->ProcessName.Buffer,szProcessName))
        {

            for(b=0;b<pInfo->ThreadCount ;b++)
            {
                if(pInfo->Threads[b].ClientId.UniqueThread == dwThreadID ) //找到线程              
                {

                    if(pInfo->Threads[b].State == StateWait && pInfo->Threads[b].WaitReason == Suspended) //线程被挂起
                    {
                        bRet = TRUE;
                        break;
                    }
                }
            }
            break;
       
        }
        pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) +    pInfo->NextEntryDelta);
    }

    free(pBuffer);
    return bRet;
}   


/**************************************************************/
/*判断线程是否被终止 , 如果终止返回FALSE,如果还活着返回TRUE
/**************************************************************/

BOOL IsThreadAlive(DWORD dwThreadID)
{
    BOOL bRet = FALSE;
    DWORD ExitCode = 0;

    HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION,FALSE,dwThreadID);
    if(hThread != NULL)
    {
        if(GetExitCodeThread(hThread,&ExitCode))
        {
            if( ExitCode == STILL_ACTIVE)
                bRet = TRUE;
        }

        CloseHandle(hThread);
    }

    return bRet;
}

int _tmain(int argc, _TCHAR* argv[])
{

   
    BOOL bRET =IsThreadSuspend(2320,L"EXPLORER.EXE");


    if(bRET)
    {
        printf(" 2320线程被挂起了!");
    }
    return 0;
}

阅读全文
类别:windows sdk开发 查看评论]]> 2009-07-06 11:31 http://hi.baidu.com/combojiang/blog/item/256afb3fec8745e554e7239a.html <![CDATA[阻止全局钩子的加载[转载】]]> 先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子,钩子函数在B.dll中,那么当其它程 序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用 GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。这样,钩子dll 就会在所有调用GetMessage的进程中加载。
我们要做的工作,就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题:
  1. LoadLibrary函数这一次失败了,下一次系统还是会去尝试加载它。看起来可能会影响效率,但是即使你不让它失败,每次有消息的时候,系统也是会去调用那个钩子过程的,哪种方法更影响效率呢?这就不知道了,呵呵;
  2. 怎 么知道什么时候让LoadLibrary失败呢?不能都让它失败吧,这样会死的很惨的:(.经过研究发现,正常的加载dll函数调用都是从 kernel32.dll中来的,而只有加载钩子过程是在user32.dll中进行的(winxp系统下,以后的不知道是否也是这样)。我们可以判断一 下LoadLibrary函数的返回地址,如果是在user32.dll的地址空间,就认为是钩子dll的加载,直接返回0就可以了。

  然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的,所以我们只需要拦截这么一个函数就可以了。分成三个步骤:

  1. 提供一个替代LoadLibraryExW的函数,假设名字叫newLoadLibraryExW,注意,函数原型要和LoadLibraryExW一模一样,本进程内所有对LoadLibraryExW的调用都会转到这儿来; 
    HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
    {
     //获取函数的返回地址参考文章最后的注1
     DWORD dwCaller;
     __asm push dword ptr [ebp+4]
     __asm pop  dword ptr [dwCaller] 
     
     //判断是否是从User32.dll调用的
     //m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限
     if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
     {
       //TRACE something hint infomation
       return 0;
     }
     return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
    }
  2. 提供一块空间,假设这块空间的起始地址是fakeLoadLibraryExW,把LoadLibraryExW函数前N个字节保存下来,然后再用一个jmp指令跳回(LoadLibraryExW+N)地址处继续执行,在这里,N取7,具体原因在下边讲;
  3. 修改LoadLibraryExW函数的前5个字节,用一个jmp 指令跳到我们的newLoadLibraryExW函数起始处。虽然这里只用了5个字节,但是我们先看一下LoadLibraryExW函数的前两条指令:
//你机器上的版本具体的数字可能和我的不一样
push 34h?//6A 34
push 7C80E288h?//68 88 E2 80 7C

  一共有7个字节,我们不能只修改前5个字节,然后从fakeLoadLibraryExW函数跳到第6个字节处开始执行,而要跳到第三条指令即第8个字节开始处,这就是上一步N为什么取7的原因。画个图示意一下,修改前:

修改后:

 

以下是封装的一个类,使用时定义一个该类的全局变量,调用一下PatchLoadLibrary函数即可。

//***********************************************************************************//
//  FileName : GBlockHookDll.h                    
//  Author :耿海增            
//  Date : 2006.10.07                  
//***********************************************************************************//

#pragma once

#include 
#pragma comment(lib,"psapi.lib")

class GBlockHookDll
{
public:
 GBlockHookDll()
 {
      MODULEINFO user32ModInfo = {0};
 
      //获取user32.dll的加载基址和映象大小  
      GetModuleInformation(GetCurrentProcess(),GetModuleHandle("user32.dll"),&user32ModInfo,sizeof(user32ModInfo));
      m_dwUser32Low = (DWORD)user32ModInfo.lpBaseOfDll;
      m_dwUser32Hi = (DWORD)user32ModInfo.lpBaseOfDll+user32ModInfo.SizeOfImage;
 }
 void PatchLoadLibrary()
 {
      //LoadLibraryExW
      //7C801AF1 6A 34                push        34h
      //7C801AF3 68 88 E2 80 7C       push        7C80E288h
      LPVOID* pfnRaw = (LPVOID*)&rawLoadLibraryExW;
      LPVOID fnNew = (LPVOID)newLoadLibraryExW;
      BYTE* fnRaw = (BYTE*)*pfnRaw;
      //1 save the first 7 bytes
      const int nFirstBytes = 7;
      BYTE* fnFake = (BYTE*)fakeLoadLibraryExW;
      memcpy(fnFake,*pfnRaw,nFirstBytes);
      fnFake[nFirstBytes] = 0xE9;      //jmp to rawAddr+nFirstBytes
      *(UINT32*)(fnFake + nFirstBytes+1) = (UINT32)fnRaw+nFirstBytes - (UINT32)(fnFake + nFirstBytes + 5);
      //2 modify the raw to jmp to fnNew
      DWORD dwOldProtect = 0;
      VirtualProtect(fnRaw,nFirstBytes,PAGE_READWRITE,&dwOldProtect); //修改该代码段的属性为可写
      *fnRaw = 0xE9;
      *(UINT32*)(fnRaw+1) = (UINT32)fnNew - (UINT32)(fnRaw + 5);
      VirtualProtect(fnRaw,nFirstBytes,dwOldProtect,0);
      //3 change the rawPointer
      *pfnRaw = fnFake;
 }
private: 
 static HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
 {
      //get the return address
      DWORD dwCaller;
      __asm push dword ptr [ebp+4]
      __asm pop  dword ptr [dwCaller]
      if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
      {
 #ifdef _DEBUG
       UINT uLenWide = lstrlenW(lpLibFileName);
       char* pNewChar = new char[uLenWide + 1];
       memset(pNewChar,0,uLenWide+1);
       WideCharToMultiByte(CP_ACP,0,lpLibFileName,-1,pNewChar,uLenWide,NULL,NULL);
       TRACE2(".......................LoadLibrary:return addr 0x%x,%s ",dwCaller,pNewChar);
       TRACE("Blocked.......................\n");
       delete []pNewChar;
 #endif
       return 0;
      }
      return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
 }
private:
 static DWORD m_dwUser32Low;        //user32.dll 的加载基址
 static DWORD m_dwUser32Hi;        //user32.dll 的加载基址+ImageSize
 static BYTE  fakeLoadLibraryExW[12]; //save first bytes of the raw function,and jmp back to that function
 //保存LoadLibraryExW的指针,然后修改为fakeLoadLibraryExW
 static HMODULE (WINAPI *rawLoadLibraryExW)( LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags );
};
DWORD GBlockHookDll::m_dwUser32Low = 0;
DWORD GBlockHookDll::m_dwUser32Hi  = 0;
BYTE GBlockHookDll::fakeLoadLibraryExW[12] = {0};
HMODULE (WINAPI *GBlockHookDll::rawLoadLibraryExW)(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) = LoadLibraryExW;
注1:怎么知道函数的返回地址呢?我们都知道,函数调用的时候,先要把参数入栈,然后把返回地址入栈,这样,在我们的函数里,esp指向的应该就是函数的返回地址了。但是为了返回函数时恢复原来的栈和在函数中方便引用传递的参数,编译器一般都会产生两条指令: 
push ebp
mov ebp,esp
先把ebp入栈,把原来的esp保存在ebp寄存器中,这样,我们的返回地址就是[ebp+4],第一个参数是[ebp+8],第二个是[ebp+0xC]
注2:如果想写一个通用一点儿的API Hook,就不能简单的patch前5个或者前7字节了,需要根据不同的指令分析需要patch多少字节。可以参考微软的 Detours 的实现。
http://www.vckbase.com/document/viewdoc/?id=1694 阅读全文
类别:代码杂谈 查看评论]]> 2009-03-04 02:18 http://hi.baidu.com/combojiang/blog/item/163e6919edf1bd4d43a9adcd.html <![CDATA[自己写的一个GetProcAddress【转载】]]> DWORD GetFunctionAddress( HMODULE phModule,char* pProcName )
{
if (!phModule)
  return 0;
PIMAGE_DOS_HEADER pimDH = (PIMAGE_DOS_HEADER)phModule;
PIMAGE_NT_HEADERS pimNH = (PIMAGE_NT_HEADERS)((char*)phModule+pimDH->e_lfanew);
PIMAGE_EXPORT_DIRECTORY pimED = (PIMAGE_EXPORT_DIRECTORY)((DWORD)phModule+pimNH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
DWORD pExportSize = pimNH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
DWORD pResult = 0;


if ((DWORD)pProcName < 0x10000)
{
  if ((DWORD)pProcName >= pimED->NumberOfFunctions+pimED->Base || (DWORD)pProcName < pimED->Base)
   return 0;
   pResult = (DWORD)phModule+((DWORD*)((DWORD)phModule+pimED->AddressOfFunctions))[(DWORD)pProcName-pimED->Base];
}else
{
   DWORD* pAddressOfNames = (DWORD*)((DWORD)phModule+pimED->AddressOfNames);
  for (int i=0;i<pimED->NumberOfNames;i++)
  {
   char* pExportName = (char*)(pAddressOfNames[i]+(DWORD)phModule);
   if (strcmp(pProcName,pExportName) == 0)
   {
     WORD* pAddressOfNameOrdinals = (WORD*)((DWORD)phModule+pimED->AddressOfNameOrdinals);
     pResult  = (DWORD)phModule+((DWORD*)((DWORD)phModule+pimED->AddressOfFunctions))[pAddressOfNameOrdinals[i]];
    break;
    }
   }
}
if   (pResult != 0 && pResult >= (DWORD)pimED && pResult < (DWORD)pimED+pExportSize)
{
  char* pDirectStr = (char*)pResult;
  bool pstrok = false;
  while (*pDirectStr)
  {
   if (*pDirectStr == '.')
   {
     pstrok = true;
    break;
    }
    pDirectStr++;
   }
  if (!pstrok)
   return 0;
  char pdllname[MAX_PATH];
  int   pnamelen = pDirectStr-(char*)pResult;
  if (pnamelen <= 0)
   return 0;
   memcpy(pdllname,(char*)pResult,pnamelen);
   pdllname[pnamelen] = 0;
   HMODULE phexmodule = GetModuleHandle(pdllname);
   pResult = GetFunctionAddress(phexmodule,pDirectStr+1);
}

return pResult;
}
 阅读全文
类别:代码杂谈 查看评论]]> 2009-03-04 01:51 http://hi.baidu.com/combojiang/blog/item/10bc4b23e2efab4cad34dec2.html <![CDATA[一个比较变态的MessageBox]]> .text:0040A4CB MyMessageBox    proc near             
.text:0040A4CB
.text:0040A4CB var_24          = dword ptr -24h
.text:0040A4CB var_14          = byte ptr -14h
.text:0040A4CB var_C           = byte ptr -0Ch
.text:0040A4CB var_8           = byte ptr -8
.text:0040A4CB Hwnd            = dword ptr -4
.text:0040A4CB arg_0           = dword ptr 8
.text:0040A4CB arg_4           = dword ptr 0Ch
.text:0040A4CB arg_8           = dword ptr 10h
.text:0040A4CB
.text:0040A4CB                  mov     edi, edi
.text:0040A4CD                 push    ebp
.text:0040A4CE                 mov     ebp, esp
.text:0040A4D0                 sub     esp, 14h
.text:0040A4D3                 push    ebx
.text:0040A4D4                 push    esi
.text:0040A4D5                 push    edi
.text:0040A4D6                 call    CallEncodePointer
.text:0040A4DB                 and     [ebp+Hwnd], 0
.text:0040A4DF                 cmp     PMessageBoxA_ENCODED, 0
.text:0040A4E6                 mov     ebx, eax
.text:0040A4E8                 jnz     loc_40A57C
.text:0040A4EE                 push    offset LibFileName ; "USER32.DLL"
.text:0040A4F3                 call    ds:LoadLibraryA
.text:0040A4F9                 mov     edi, eax
.text:0040A4FB                 test    edi, edi
.text:0040A4FD                 jz      loc_40A62D
.text:0040A503                 mov     esi, ds:GetProcAddress
.text:0040A509                 push    offset aMessageboxa ; "MessageBoxA"
.text:0040A50E                 push    edi             ; hModule
.text:0040A50F                 call    esi ; GetProcAddress
.text:0040A511                 test    eax, eax
.text:0040A513                 jz      loc_40A62D
.text:0040A519                 push    eax             ; lpProcName
.text:0040A51A                 call    LoadModuleAndCallEncodePointer ; 返回调用EncodePointer后的结果。
.text:0040A51F                 mov     [esp+24h+var_24], offset aGetactivewindo ; "GetActiveWindow"
.text:0040A526                 push    edi             ; hModule
.text:0040A527                 mov     PMessageBoxA_ENCODED, eax
.text:0040A52C                 call    esi ; GetProcAddress
.text:0040A52E                 push    eax             ; lpProcName
.text:0040A52F                 call    LoadModuleAndCallEncodePointer ; 返回调用EncodePointer后的结果。
.text:0040A534                 mov     [esp+24h+var_24], offset aGetlastactivep ; "GetLastActivePopup"
.text:0040A53B                 push    edi             ; hModule
.text:0040A53C                 mov     PGetActiveWindow_ENCODED, eax
.text:0040A541                 call    esi ; GetProcAddress
.text:0040A543                 push    eax             ; lpProcName
.text:0040A544                 call    LoadModuleAndCallEncodePointer ; 返回调用EncodePointer后的结果。
.text:0040A549                 mov     [esp+24h+var_24], offset aGetuserobjecti ; "GetUserObjectInformationA"
.text:0040A550                 push    edi             ; hModule
.text:0040A551                 mov     pGetLastActivePopup_ENCODED, eax
.text:0040A556                 call    esi ; GetProcAddress
.text:0040A558                 push    eax
.text:0040A559                 call    LoadModuleAndCallEncodePointer ; 返回调用EncodePointer后的结果。
.text:0040A55E                 pop     ecx
.text:0040A55F                 mov     pGetUserObjectInformationA_ENCODED, eax
.text:0040A564                 test    eax, eax
.text:0040A566                 jz      short loc_40A57C
.text:0040A568                 push    offset aGetprocesswind ; "GetProcessWindowStation"
.text:0040A56D                 push    edi             ; hModule
.text:0040A56E                 call    esi ; GetProcAddress
.text:0040A570                 push    eax
.text:0040A571                 call    LoadModuleAndCallEncodePointer ; 返回调用EncodePointer后的结果。
.text:0040A576                 pop     ecx
.text:0040A577                 mov     PGetProcessWindowStation_ENCODED, eax
.text:0040A57C
.text:0040A57C loc_40A57C:                             ; CODE XREF: MyMessageBox+1D j
.text:0040A57C                                         ; MyMessageBox+9B j
.text:0040A57C                 mov     eax, PGetProcessWindowStation_ENCODED
.text:0040A581                 cmp     eax, ebx
.text:0040A583                 jz      short loc_40A5D4
.text:0040A585                 cmp     pGetUserObjectInformationA_ENCODED, ebx
.text:0040A58B                 jz      short loc_40A5D4
.text:0040A58D                 push    eax
.text:0040A58E                 call    LoadModuleAndCallDecodePointer
.text:0040A593                 push    pGetUserObjectInformationA_ENCODED
.text:0040A599                 mov     esi, eax        ; esi保存解码后的GetProcessWindowStation地址
.text:0040A59B                 call    LoadModuleAndCallDecodePointer
.text:0040A5A0                 pop     ecx
.text:0040A5A1                 pop     ecx
.text:0040A5A2                 mov     edi, eax        ; edi保存解码后的GetUserObjectInformation地址
.text:0040A5A4                 test    esi, esi
.text:0040A5A6                 jz      short loc_40A5D4
.text:0040A5A8                 test    edi, edi
.text:0040A5AA                 jz      short loc_40A5D4
.text:0040A5AC                 call    esi             ; call GetProcessWindowStation
.text:0040A5AE                 test    eax, eax
.text:0040A5B0                 jz      short loc_40A5CB
.text:0040A5B2                 lea     ecx, [ebp+var_8]
.text:0040A5B5                 push    ecx
.text:0040A5B6                 push    0Ch             ; nLength
.text:0040A5B6                                         ;
.text:0040A5B8                 lea     ecx, [ebp+var_14] ; typedef struct tagUSEROBJECTFLAGS {
.text:0040A5B8                                         ;     BOOL fInherit;
.text:0040A5B8                                         ;     BOOL fReserved;
.text:0040A5B8                                         ;     DWORD dwFlags;
.text:0040A5B8                                         ; } USEROBJECTFLAGS, *PUSEROBJECTFLAGS;
.text:0040A5BB                 push    ecx
.text:0040A5BC                 push    1               ; UOI_FLAGS
.text:0040A5BC                                         ;
.text:0040A5BE                 push    eax             ; handle
.text:0040A5BF                 call    edi             ; call GetUserObjectInformation
.text:0040A5C1                 test    eax, eax
.text:0040A5C3                 jz      short loc_40A5CB ; 失败跳转
.text:0040A5C5                 test    [ebp+var_C], 1 ; 判断dwFlags属性是否为WSF_VISIBLE
.text:0040A5C9                 jnz     short loc_40A5D4
.text:0040A5CB
.text:0040A5CB loc_40A5CB:                             ; CODE XREF: MyMessageBox+E5 j
.text:0040A5CB                                         ; MyMessageBox+F8 j
.text:0040A5CB                 or      [ebp+arg_8], 200000h
.text:0040A5D2                 jmp     short loc_40A60D
.text:0040A5D4 ; ---------------------------------------------------------------------------
.text:0040A5D4
.text:0040A5D4 loc_40A5D4:                             ; CODE XREF: MyMessageBox+B8 j
.text:0040A5D4                                         ; MyMessageBox+C0 j ...
.text:0040A5D4                 mov     eax, PGetActiveWindow_ENCODED
.text:0040A5D9                 cmp     eax, ebx
.text:0040A5DB                 jz      short loc_40A60D
.text:0040A5DD                 push    eax
.text:0040A5DE                 call    LoadModuleAndCallDecodePointer
.text:0040A5E3                 pop     ecx
.text:0040A5E4                 test    eax, eax
.text:0040A5E6                 jz      short loc_40A60D
.text:0040A5E8                 call    eax ; PGetActiveWindow_ENCODED ; 调用GetActiveWindow
.text:0040A5EA                 mov     [ebp+Hwnd], eax
.text:0040A5ED                 test    eax, eax
.text:0040A5EF                 jz      short loc_40A60D
.text:0040A5F1                 mov     eax, pGetLastActivePopup_ENCODED
.text:0040A5F6                 cmp     eax, ebx
.text:0040A5F8                 jz      short loc_40A60D
.text:0040A5FA                 push    eax
.text:0040A5FB                 call    LoadModuleAndCallDecodePointer
.text:0040A600                 pop     ecx
.text:0040A601                 test    eax, eax
.text:0040A603                 jz      short loc_40A60D
.text:0040A605                 push    [ebp+Hwnd]
.text:0040A608                 call    eax ; pGetLastActivePopup_ENCODED ; 调用GetLastActivePopup
.text:0040A60A                 mov     [ebp+Hwnd], eax ; 保存得到的最后一个弹出窗口
.text:0040A60D
.text:0040A60D loc_40A60D:                             ; CODE XREF: MyMessageBox+107 j
.text:0040A60D                                         ; MyMessageBox+110 j ...
.text:0040A60D                 push    PMessageBoxA_ENCODED
.text:0040A613                 call    LoadModuleAndCallDecodePointer
.text:0040A618                 pop     ecx
.text:0040A619                 test    eax, eax
.text:0040A61B                 jz      short loc_40A62D
.text:0040A61D                 push    [ebp+arg_8]
.text:0040A620                 push    [ebp+arg_4]
.text:0040A623                 push    [ebp+arg_0]
.text:0040A626                 push    [ebp+Hwnd]
.text:0040A629                 call    eax ; PGetProcessWindowStation_ENCODED ; 调用MessageBoxA
.text:0040A62B                 jmp     short loc_40A62F
.text:0040A62D ; ---------------------------------------------------------------------------
.text:0040A62D
.text:0040A62D loc_40A62D:                             ; CODE XREF: MyMessageBox+32 j
.text:0040A62D                                         ; MyMessageBox+48 j ...
.text:0040A62D                 xor     eax, eax
.text:0040A62F
.text:0040A62F loc_40A62F:                             ; CODE XREF: MyMessageBox+160 j
.text:0040A62F                 pop     edi
.text:0040A630                 pop     esi
.text:0040A631                 pop     ebx
.text:0040A632                 leave
.text:0040A633                 retn
.text:0040A633 MyMessageBox    endp

这个函数写的很麻烦,主要思路是。

1)从user32.dll中获取函数地址,然后加密这些函数地址。
2)解密函数地址,并调用函数,获得当前进程桌面,判断桌面属性是否可见。
   如果可见,则获取当前活动的窗口,然后得到活动窗口最后弹出的一个popup窗口句柄
   最后使用这个句柄,弹出MessageBox

3)加密函数和解密函数来源于一个dll模块。 阅读全文
类别:代码杂谈 查看评论]]> 2009-03-03 17:29 http://hi.baidu.com/combojiang/blog/item/a56a9090e63a7a85a977a4c9.html <![CDATA[一段获取ssdt表及其中函数的简单代码]]> {
    PNTPROC    ServiceTable ;    // array of entry points
    PULONG    CounterTable ;    // array of usage counters . be NULL
    ULONG    ServiceLimit ;    // number of table entries
    UCHAR*    ArgumentTable ;    // array of bytes counts
} SYSTEM_SERVICE_TABLE , *PSYSTEM_SERVICE_TABLE , **PPSYSTEM_SERVICE_TABLE ;

ULONG GetSSDTFunction(ULONG nIndex, ULONG *pFunAddr )
{
      PETHREAD kthread;
      PSYSTEM_SERVICE_TABLE   pssdt;

      kthread = (ULONG)PsGetCurrentThread();
      pssdt = kthread ->ServiceTable;
    
       if( nIndex < pssdt->ServiceLimit )
       {
              *pFunAddr = pssdt->ServiceTable [nIndex];
              return   *pFunAddr;
       }

       return   0;

} 阅读全文
类别:windows内核探索 查看评论]]> 2009-03-02 23:34 http://hi.baidu.com/combojiang/blog/item/7eb228d363c116d7a8ec9a05.html <![CDATA[Windows System Call Table (NT/2000/XP/2003/Vista)]]> 链接: http://www.pediy.com/document/Windows_System_Call_Table/Windows_System_Call_Table.htm

这个表虽然没有及时更新,但是依然很强大。
类别:windows内核探索 查看评论]]> 2009-02-26 12:45 http://hi.baidu.com/combojiang/blog/item/2698e0879fa7c92dc75cc30f.html <![CDATA[注入进程实现hook API -- 拦截并修改API函数参数]]> // MainProcessDll.cpp : Defines the entry point for the DLL application.
//
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>

char g_waiguaFullPath[0x100] = {0};
DWORD g_FunAddr = 0;
DWORD g_PatchFunc = 0;
DWORD g_PatchAllHookFun = 0;
DWORD g_CmdLen = 5;
BYTE g_Cmd[0x14] = {0};
LPVOID g_mem = NULL;
DWORD g_hookflag = 0;

WCHAR tt[] = L"tt";

typedef HANDLE (CALLBACK *PCreateEventW)(
    LPSECURITY_ATTRIBUTES lpEventAttributes,
    BOOL bManualReset,
    BOOL bInitialState,
    LPCWSTR lpName
    );

PCreateEventW PCreateEventWFun = NULL;


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD ul_reason_for_call,
                       LPVOID lpReserved
                    )
{
  
    return TRUE;
}

void __stdcall FreeMem()
{
    if(g_mem)
    {
        VirtualFree(g_mem,0x14,0x8000);
        g_mem = NULL;
        return;
    }
}

void __stdcall RestoreHookFunction()
{
    if(g_mem == NULL)
        return;

    if(!g_hookflag)
        return;

    memcpy((void *)g_FunAddr,g_Cmd,g_CmdLen);
    FreeMem();
}

void __stdcall ModifyEventName(WCHAR *EventName)
{

     _asm
    {
        pushad
        mov ebx,rand
         mov edi,EventName
        xor esi,esi
GOON:      
        call ebx
        cdq
        mov ecx,14h
        idiv ecx
        add esi,2
        add dl,61h
        cmp esi,0Ah
        mov [esi + edi - 2],dl
        jl GOON

        popad
    }
}

void __stdcall CreateEventWHookFunction(DWORD pEsp)
{
    _asm
    {
        pushad
        mov eax,pEsp
        mov ecx,[eax + 0ch]
        mov ebx,[ecx + 14h]
        test ebx,ebx
        jz   QUIT

        mov ecx,4
        lea edi,tt
        mov esi,ebx
        xor eax,eax
        repne cmpsb
        jz PIPEI

        sbb eax,eax
        sbb eax,0ffffffffh
PIPEI:
        test eax,eax
        jnz   QUIT

        call RestoreHookFunction
        push ebx
        call ModifyEventName

QUIT:
        popad
    }
}

void __stdcall PatchFunctionForAllHook(DWORD pEsp)
{
    _asm
    {
        mov eax,g_PatchFunc
        mov ecx,pEsp
        push ecx
        call eax           
    }
}

int __stdcall AddCmdToBuff()
{

    if(g_mem == NULL)
        return 1;

    _asm
    {
        pushad
        mov eax,g_mem
        mov byte PTR[eax],60h
        mov byte PTR[eax + 1],9ch
        inc eax
        mov byte PTR[eax + 1],54h
        inc eax
        mov byte PTR[eax + 1],0B9h
        inc eax
        mov edx,g_PatchFunc
        mov [eax + 1],edx
        mov ecx,g_PatchAllHookFun
        inc eax
        mov byte PTR[eax + 4],0E8h
        add eax,4
        sub ecx,eax
        sub ecx,5
        mov [eax + 1],ecx
        inc eax
        mov byte PTR[eax + 4],9Dh
        add eax, 4
        mov byte PTR[eax + 1],61h
        mov ecx,g_CmdLen
        inc eax
        mov ebx, ecx
        shr ecx,2
        inc eax
        lea esi,g_Cmd
        mov edi,eax
        rep movsd
        mov ecx,ebx
        and ecx,3
        rep movsb

        mov ecx,g_CmdLen
        mov edx,g_FunAddr
        add eax,ecx
        sub edx,eax

        lea ecx,[edx + ecx - 5]
        mov byte PTR[eax],0E9h
        mov [eax + 1],ecx
        popad

    }
    return 0;
}

int __stdcall InlineHook()
{
    memcpy(g_Cmd,(void *)g_FunAddr, g_CmdLen);
    _asm
    {
        push ecx
        mov ecx,g_FunAddr
        mov eax,g_mem
        mov byte ptr[ecx],0E9h
        sub eax,ecx
        sub eax,5
        mov ecx,g_FunAddr       
        mov [ecx+1],eax
        pop ecx
    }
   
    g_hookflag = 1;
    g_PatchAllHookFun = (DWORD)PatchFunctionForAllHook;

    AddCmdToBuff();

    return 0;
}

int __stdcall HookFunction(DWORD FunAddr,DWORD PatchFunc)
{
    DWORD OldProtect;
    if(!(FunAddr && PatchFunc))
        return 1;

    g_FunAddr = FunAddr;
    g_PatchFunc = PatchFunc;

    if(!VirtualProtect((void *)g_FunAddr,5,PAGE_EXECUTE_READWRITE,&OldProtect))
       return 2;
   
    g_mem = VirtualAlloc(0,0x14,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
    if(g_mem == NULL)
       return 3;
   
    InlineHook();

    return 0;
}

int __stdcall Runxxx(char *waiguafullPath)
{
    char EventName[0x104] = {0};

    if(waiguafullPath == NULL)
        return 2;

    lstrcpy(g_waiguaFullPath,waiguafullPath);

    PCreateEventWFun = (PCreateEventW)GetProcAddress(
                                      GetModuleHandle("kernel32.dll"),
                                    "CreateEventW");

    if(!PCreateEventWFun)
        return 1;

    lstrcpy(EventName,"tty_btn0");
   
    HANDLE hEvent = OpenEvent(EVENT_ALL_ACCESS,TRUE,EventName);
    if(hEvent)
    {
        CloseHandle(hEvent);
        HookFunction((DWORD)PCreateEventWFun + 5,(DWORD)CreateEventWHookFunction);
    }

    return 0;
}

////MainProcessDll.def
LIBARARY MainProcessDll
EXPORTS

Runxxx      @1


// xxxxhook.cpp : Defines the entry point for the DLL application.
//
#include <windows.h>
#include <stdio.h>

#pragma   data_seg("Shared")
char      g_waiguaFullPath[0x104] = {0};
HHOOK     g_hHook = NULL;
#pragma   data_seg()
#pragma   comment(linker,"/SECTION:Shared,RWS")  


BOOL      g_IsHook = FALSE;
char      g_MainProcessDll[0x104] = {0};
HANDLE    g_hmod_xxxxhook_dll = NULL;
HMODULE   g_hModuleMainProcess = NULL;
typedef int (CALLBACK *pRunxxx)(char *waiguaFullPath);
pRunxxx RunxxxFun = NULL;



BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD ul_reason_for_call,
                       LPVOID lpReserved
                    )
{
    g_hmod_xxxxhook_dll = hModule;
    return TRUE;
}


LRESULT CALLBACK CallWndProc(          int nCode,
    WPARAM wParam,
    LPARAM lParam
)
{
    try
    {

        if(!g_IsHook)
        {           
           
            if(GetModuleHandle("pg_guiwnd.dll"))
            {
                g_IsHook = TRUE;

                lstrcpy(g_MainProcessDll,g_waiguaFullPath);
                lstrcat(g_MainProcessDll,"MainProcessDll.dll");
                        
                g_hModuleMainProcess = LoadLibrary(g_MainProcessDll);
                if(g_hModuleMainProcess)
                {
                    RunxxxFun = (pRunxxx)GetProcAddress(g_hModuleMainProcess,"Runxxx");
                    if(RunxxxFun != NULL)
                    {
                        RunxxxFun(g_waiguaFullPath);
                    }
                    else
                    {
                        FreeLibrary(g_hModuleMainProcess);   
                        g_hModuleMainProcess = NULL;
                    }
                }
            }
        }
    }
    catch (...)
    {
    }

    return CallNextHookEx(g_hHook,nCode,wParam,lParam);
}

void Install_InitPath()
{
    char Dest[0x100] = {0};
    GetModuleFileName(0,Dest,0x100);
    char *pChar = Dest + lstrlen(Dest) - 1;
   
    while( *pChar != '\\')
        pChar--;

    pChar++;
    *pChar = 0;

   lstrcpy(g_waiguaFullPath,Dest);   
}

int __stdcall Install2()
{
   
    Install_InitPath();
    g_hHook = SetWindowsHookEx(WH_CALLWNDPROC,
                               CallWndProc,
                               (HINSTANCE)g_hmod_xxxxhook_dll,
                               0 );

    if(g_hHook == NULL)
        return 2;
       
    return 0;
}

int __stdcall UnInstall2()
{

    if(g_IsHook)
    {
        if(g_hModuleMainProcess)
        {
            FreeLibrary(g_hModuleMainProcess);
            g_hModuleMainProcess = NULL;
        }

        g_IsHook = FALSE;
    }

    if(g_hHook)
    {
        if(UnhookWindowsHookEx(g_hHook))
            g_hHook = 0;
        else
            return 2;
    }

    return 0;
}
//xxxxhook.def
LIBRARY xxxxhook
EXPORTS

Install2      @1
CallWndProc    @2
UnInstall2         @3

另注: 明天就要离开公司,离开了与自己共事多年的朋友们,临别写一句《功夫熊猫》中的一句话勉励自己吧。“过去的,已经过去了;未来的,还未可知。现在却是上苍的礼赠。我们可以把握的,是当下。”

 阅读全文
类别:游戏分析 查看评论]]> 2009-02-25 13:23 http://hi.baidu.com/combojiang/blog/item/d17aa88ba6c94315c9fc7a29.html <![CDATA[必杀技公布——用特征码定位关键代码,秒杀MFC程序【转】]]> 【文章标题】: 必杀技公布——用特征码定位关键代码,秒杀MFC程序
【文章作者】: 书呆彭
【下载地址】: 自己搜索下载
【使用工具】: VC与OllyICE
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
   本文所讲的方法,其实是一个很古老的方法了。以前,考虑到此法的杀伤力巨大,不便于公布。
  
   随着软件开发者保护意识的提高和软件保护技术的发展,此法的杀伤力逐渐下降成为普通等级。
  
   我本人这学期的课程和任务十分多,打算暂时把程序调试这个业余爱好放一放,估计至少会有半年时间不常来看雪了。
  
   把这个方法写出来,算是给大家的告别礼物。
  
  
  
   对于直接使用SDK而不使用第三方库的程序,我们要定位到程序的“关键代码”并不困难。通常在CreateWindow函数或DialogBoxParam函数下断点,可以直接获得其主界面的窗口过程或对话框过程。但是对于使用了MFC的程序,我们找到的窗口过程或对话框过程是在MFC提供的程序框架的内部,经过层层的分发和筛选,消息才最终到达用户代码,直接分析起来比较繁琐。
  
   幸好,有一个Olly的脚本,可以直接帮助我们找到诸如OnOK()之类的函数。这个脚本用到的方法,是建立在对MFC内部机制充分理解的基础上,通过在消息分发的代码处下条件断点而完成的。
  
   然而,我马上要讲到的这个方法,在一定程度上,比这个脚本还好使,可以一下就定位到我们感兴趣的代码处。而且,可以举一反三,如果你看明白了其中的思路,可以自己扩展成为十分强大的“必杀技”,不仅对MFC,对其它的应用程序框架也有效果。
  
  
   我就不讲我如何想到的这个方法,只讲两个例子。如果你看懂了这个例子,其中的思路肯定会明白了。而且,十分简单。
  
  
   我以MFC42为例。先打开VC6,创建一个MFC的对话框程序,按默认设置。我们在“OK”按钮的处理函数OnOK()的开头,写上这样一句:
  
   __asm   int 3
  
   然后,按Release编译。
  
   现在,用OD调试程序,不要忽略int3异常,F9运行,点击“OK”,OD马上断下。
  
   看堆栈:
  
  
代码:
    0012F80C     73EFE938    返回到 MFC42.73EFE938
    0012F810     00000000
    0012F814     004022E8    MFCDialo.004022E8
  
  
  
   我们到 MFC42.73EFE938这看一下:
  
  
代码:
    73EFE932      8B4D 08           MOV       ECX, DWORD PTR SS:[EBP+8]
    73EFE935      FF55 14           CALL      DWORD PTR SS:[EBP+14]              ; 这句就是调用用户函数的CALL
    73EFE938      5F                POP       EDI                                ; 这就是堆栈中的 MFC42.73EFE938
    73EFE939      8BC6              MOV       EAX, ESI
    ...
  
  
   我们看到,73EFE935处的CALL [EBP+14]的目标函数就是我们的OnOK()。记住这个地址。
  
   我们按ALT+E,打开模块列表,双击下面MFC42.dll这一行:
  
  
代码:
    Executable modules
    基址         大小         入口         名称         文件版本            路径
    00400000     00005000     00401780     MFCSigna     1, 0, 0, 1          F:\Documents\MY CODE\MFCDialog\Release\MFCDialog.exe
    00460000     0009B000     00486E23     ADVAPI32     5.2.3790.3959 (s    D:\WINDOWS\syswow64\ADVAPI32.dll
    00500000     0008B000     0050155C     OLEAUT32     5.2.3790.4202       D:\WINDOWS\syswow64\OLEAUT32.dll
    00590000     00052000     005A006D     SHLWAPI      6.00.3790.3959 (    D:\WINDOWS\syswow64\SHLWAPI.dll
    02160000     00017000                odbcint      3.526.1830.0 (sr    D:\WINDOWS\system32\odbcint.dll
    48890000     0003D000     488C5681     ODBC32       3.526.3959.0 (sr    D:\WINDOWS\system32\ODBC32.dll
    4B3C0000     00050000     4B3C1574     MSCTF        5.2.3790.3959 (s    D:\WINDOWS\SysWOW64\MSCTF.dll
    4DC30000     0002E000     4DC49F69     msctfime     5.2.3790.3959 (s    D:\WINDOWS\system32\msctfime.ime
    71BB0000     00009000     71BB1060     WSOCK32      5.2.3790.0 (srv0    D:\WINDOWS\system32\WSOCK32.dll
    71BF0000     00008000     71BF123D     WS2HELP      5.2.3790.1830 (s    D:\WINDOWS\system32\WS2HELP.dll
    71C00000     00017000     71C02560     WS2_32       5.2.3790.3959 (s    D:\WINDOWS\system32\WS2_32.dll
    73EB0000     00121000     73F84A8E     MFC42        6.06.8063.0         D:\WINDOWS\system32\MFC42.DLL
    75490000     00065000     754C93CA     USP10        1.0422.3790.3959    D:\WINDOWS\system32\USP10.dll
    75E60000     00027000     75E61239     apphelp      5.2.3790.3959 (s    D:\WINDOWS\system32\apphelp.dll
    76190000     00012000     76193341     MSASN1       5.2.3790.3959 (s    D:\WINDOWS\syswow64\MSASN1.dll
    761B0000     00093000     761B15FA     CRYPT32      5.131.3790.3959     D:\WINDOWS\syswow64\CRYPT32.dll
    762B0000     00049000     762B16A5     comdlg32     6.00.3790.3959 (    D:\WINDOWS\syswow64\comdlg32.dll
    77210000     000AB000     772115A2     WININET      6.00.3790.4392 (    D:\WINDOWS\syswow64\WININET.dll
    77530000     00097000     775948BA     COMCTL32     5.82 (srv03_sp2_    D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_5.82.3790.3959_x-ww_78FCF8D0\COMCTL32.dll
    77670000     00139000     776BC692     ole32        5.2.3790.3959 (s    D:\WINDOWS\syswow64\ole32.dll
    77BA0000     0005A000     77BAF78B     msvcrt       7.0.3790.3959 (s    D:\WINDOWS\syswow64\msvcrt.dll
    7C8D0000     007FF000     7C92BB2B     SHELL32      6.00.3790.4184 (    D:\WINDOWS\syswow64\SHELL32.dll
    7D4C0000     00130000     7D4DFD59     kernel32     5.2.3790.4062 (s    D:\WINDOWS\syswow64\kernel32.dll
    7D600000     000F0000                ntdll        5.2.3790.3959 (s    D:\WINDOWS\system32\ntdll.dll
    7D800000     00090000     7D82B710     GDI32        5.2.3790.4396 (s    D:\WINDOWS\syswow64\GDI32.dll
    7D8D0000     00050000     7D8E0E4B     Secur32      5.2.3790.3959 (s    D:\WINDOWS\syswow64\Secur32.dll
    7D930000     000D0000     7D969635     USER32       5.2.3790.4033 (s    D:\WINDOWS\syswow64\USER32.dll
    7DA20000     000E0000     7DA3049E     RPCRT4       5.2.3790.4115 (s    D:\WINDOWS\syswow64\RPCRT4.dll
    7DBC0000     00009000     7DBC12E2     LPK          5.2.3790.3959 (s    D:\WINDOWS\system32\LPK.DLL
    7DBD0000     00103000     7DC5A99E     comctl_1     6.0 (srv03_sp2_r    D:\WINDOWS\WinSxS\WOW64_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.3959_x-ww_5FA17F4E\comctl32.dll
    7DEE0000     00060000     7DEF02D0     IMM32        5.2.3790.3959 (s    D:\WINDOWS\system32\IMM32.DLL
    7DF50000     00070000     7DF637D7     uxtheme      6.00.3790.3959 (    D:\WINDOWS\system32\uxtheme.dll
  
  
   就来到了MFC42.DLL这个模块的.text节了。好,我们按Ctrl+F,输入CALL [EBP+0X14],回车。搜索到的第一个结果就是:
  
  
代码:
    73EFE935      FF55 14           CALL      DWORD PTR SS:[EBP+14]              ; 这句就是调用用户函数的CALL
  
  
  
   现在明白本文题目的意思了吧。。。
  
  
   下面来看看此法的应用。
  
   随便找一个MFC42的CM,用OD载入,有壳,不用管,直接F9,然后ALT+E,双击MFC42.DLL,CTRL+F,输入CALL [EBP+14],在第一个找到的地址处F2下断点。
  
   点CM的确定按钮,OD断下,F2删除断点,F7。
  
   这里就是按钮的处理函数。可以分析了。
  
  
--------------------------------------------------------------------------------
【经验总结】
   如果你看明白了我的过程,那么你也应该明白我的思路。
  
   MFC42.DLL的特征码就是指令CALL [EBP+14]
  
   顺便说一下,所有的按钮控件的处理函数OnXXXClick()都经过这里。并且,编辑框控件的OnChange()函数,以及其它很多控
   件的消息,比如CheckBox的消息,甚至OnClose()也都经过这里。什么原因呢?因为MFC框架的消息分发过程,是按参数类型
   模板分类的。如果不理解,就不用理解了,只要记住方法就行了。
  
   另外,对所有的MFC程序,如MFC71D,MFC90U等,这个方法都可以用,并且静态连接的也可以,并且Delphi的程序也可以,只
   要掌握了原理,方法大同小异。至于各自的“特征码”是什么,自己去找吧。
  
  
   祝同学们早日成为高手。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                        2009年02月23日 21:02:58 阅读全文
类别:代码杂谈 查看评论]]> 2009-02-24 09:44 http://hi.baidu.com/combojiang/blog/item/d0d4b6814735e1dfbc3e1ed7.html