原文鏈接:http://www.titilima.cn/show-131-1.html
作者:李馬
不知道諸位看官是否有過這樣的經歷:在不經意之間發現一個DLL文件,它裏邊有不少有趣的導出函數——但是由於你不知道如何調用這些函數,所以只能大發感慨而又無能爲力焉。固然有些知名的DLL可以直接通過搜索引擎來找到它的使用方式(比如本文中的例子ipsearcher.dll),不過我們誠然不能希望自己總能交到這樣的好運。所以在本文中,李馬希望通過自己文理不甚通達的講解能夠給大家以授人以漁的效果。
先決條件
閱讀本文,你需要具備以下先決條件:
- 初步瞭解彙編語言,雖然你並不一定需要去讀懂DLL中導出函數的彙編代碼,但是你至少應該瞭解諸如push、mov這些常用的彙編指令。
- 一個能夠查看DLL中導出函數的工具,Visual Studio中自帶的Dependency Walker就足夠勝任了,當然你也可以選擇eXeScope。
- 一個調試器。理論上講VC也可以完成調試的工作,但它畢竟是更加針對於源代碼一級調試的工具,所以你最好選擇一個專用的彙編調試器。在本文中我用的是OllyDbg——我不會介紹有關這個調試工具的任何東西,而只是簡要介紹我的調試過程。
準備好了嗎?那麼我們做一個熱身運動吧先。
熱身——函數調用約定
這裏要詳細介紹的是有關函數調用約定的內容,如果你已經瞭解了這方面的內容,可以跳過本節。
你可能在學習Windows程序設計的時候早已接觸過“函數調用約定”這個詞彙了,那個時候你所瞭解的內容可能是一個籠統的概念,內容大抵是說函數調用約定就是指的函數參數進棧順序以及堆棧修正方式。譬如cdecl調用約定是函數參數自右而左進棧,由調用者修復堆棧;stdcall調用約定亦是函數參數自右而左進棧,但是由被調用者修復堆棧……噢不,這太晦澀了——在源代碼上我們是無法看到這些東西的!
那麼我們別無選擇,只有深入到彙編一層了。考慮以下C++代碼:
#include <stdio.h> |
對應的彙編代碼爲:
; int __cdecl max1( int a, int b ) |
好了,我來簡要介紹一下。函數參數傳入函數體是藉由堆棧段完成的,也就是將各個參數依某種次序推入SS中——在cdecl與stdcall約定中,這個次序都是自右而左的。另外,由於將參數推入了堆棧致使堆棧指針ESP發生了變化,所以要在函數結束的時候重新修正ESP。從上邊的彙編代碼中你也可以很清楚地看到,cdecl約定是在調用max1之後修正的ESP,而stdcall約定則是在max2返回時藉由RETN 8完成了這個修正工作。
另外,從上邊的彙編代碼中還可以看到,函數的返回值是由EAX帶回的。
庖丁解牛
在瞭解了以上的知識後,我們就可以使用調試器來調試那個未知的DLL了。可以說,這整個的調試過程充滿了驚險和刺激,而且我們還需要一定的技巧——如果你像我一樣不喜歡閱讀彙編代碼的話。
在本文中,我所選擇的調試示例是FTerm中附帶的ipsearcher.dll,它提供了對純真IP數據庫的查詢接口。下圖是用Dependency Walker對其分析的結果:
你可以看到,這裏邊有兩個導出函數:LookupAddress和_GetAddress,那麼我們可以按照返回值、調用約定、函數名、參數列表的順序將它們聲明如下:
? ? LookupAddress( ? ); |
是的,有太多的未知,下面李馬將要逐一地破解這些問號。
調試器不可能孤立地對DLL進行調試,我們所需要的應該是一個合適的EXE,這樣有助於我們的探究工作。在這裏我選擇的EXE是我編寫的ipsearcher.exe,當然這可能會讓你認爲我這篇文章的組織順序有問題——畢竟是我已經知道了這兩個導出函數之後(編寫了ipsearcher.exe)還要假裝成不知道的樣子來對ipsearcher.dll來進行探究,所以我決定在下文中不對ipsearcher.exe的代碼進行任何關注,而是直接進入到ipsearcher.dll的領空。
打開調試器,載入ipsearcher.exe。當ipsearcher.dll被裝載後,會引發一個訪問異常,可以忽略這個異常繼續調試。根據Dependency Walker的分析結果,在ipsearcher.dll的0x00001BB0和0x00001C40處各下一個斷點。現在在“IP地址”中輸入一個IP地址(這裏以寒泉BBS的IP爲例),點擊“查詢”,會發現指令跳入0x00001C40中(也就是_GetAddress),它的代碼如下:
10001C40 MOV EAX,DWORD PTR SS:[ESP+4] ; 一個參數 |
很短的幾行代碼,不過它已經可以提供這些信息了:
- 從SS的使用來看,_GetAddress只帶有一個參數。
- _GetAddress中調用了LookupAddress,後者帶有兩個參數。
- 調用LookupAddress之後進行了堆棧修正,所以LookupAddress是cdecl調用約定。
- _GetAddress返回時並未進行堆棧修正,所以_GetAddress也是cdecl調用約定。
於是,我們可以替換一下剛纔的問號了:
? CDECL LookupAddress( ?, ? ); |
下面可以進行單步調試了,當代碼步至10001C44時,你會發現寄存器窗口發生瞭如下的變化:
“202.207.177.9”終於出現了,這樣一來我們可以繼續對問號進行替換了:
? CDECL LookupAddress( PCSTR, ? ); |
現在繼續對代碼進行跟蹤,是進入LookupAddress的時候了。我們可以從先前_GetAddress的代碼中可以發現,這兩個導出函數一直在圍繞10009BE8這個地址做文章,那麼我們就要在單步調試LookupAddress的同時關注這個地址的數據改變。幾步跟蹤之後,你會發現10009BE8開頭的8字節(兩個DWORD)數據發生了改變,變成了10009AB4和10009B1C。那麼我們再轉向這兩個地址,會發現:
這樣一來就很清楚了,10009BE8是一個字符串指針的數組,它有兩個元素。也就是說,我們的函數聲明可以換成這樣:
? CDECL LookupAddress( PCSTR, PSTR* ); |
接下來需要確定的就是LookupAddress的返回值了。縱觀LookupAddress的返回代碼,你會發現這樣的片斷:
; 片斷1 |
也就是說,這個函數有兩個返回值:0或1。那麼最後的真相終於大白於天下——
BOOL CDECL LookupAddress( PCSTR, PSTR* ); |
GetProcAddress?
到此爲止,這兩個函數的聲明終於讓我們找出來了。也許你會覺得這就夠了——接下來就是用typedef定義函數指針,然後使用LoadLibrary、GetProcAddress調用這些函數的事情了。
如果你真的這麼認爲的話,那我認爲我有必要向你介紹這另外的一種方式。
首先請你建立一個名爲ipsearcher.def的文件,然後在其中寫入如下內容:
LIBRARY "ipsearcher" |
將文件保存後,進入到命令行模式下,輸入以下命令(前提是你擁有Visual Studio的附帶工具lib.exe並有正確的路徑指向。以Visual Studio 6.0爲例,這個工具通常位於Microsoft Visual StudioVC98Bin下):
lib /def:ipsearcher.def
執行的結果有一個警告,不必理會。這時候我們會發現,lib爲我們生成了一個ipsearcher.lib。
然後,我們繼續編寫ipsearcher.h文件,如下:
#ifndef IPSEARCHER_H |
大功告成!這樣我們就爲這個光禿禿的ipsearcher.dll做了一份SDK開發包,而不必再使用動態加載的方法了。
總結一下再
其實,探究一個DLL並非像我這裏所講述的這麼簡單。這項工作很可能需要閱讀大量的彙編代碼,瞭解DLL函數體的流程才能使真相大白於天下。另外,還不能排除有的DLL被加密、加殼、反跟蹤……也就是說對於ipsearcher.dll,那簡直就是我撿了個便宜來借花獻佛了。