この呼び出しsub_10636F0は、ターゲットアプリケーションに挿入されたC ++ DLLから呼び出す方法を見つけようとして、5つの異なる場所で見つかりました。これにより、そのアプリケーションのすべての呼び出しに完全にアクセスできます。
私はそれが完全であるように、これらの呼び出しのほとんどがその上の別の呼び出しの直後に切り取られると呼ばれるすべての場所のチャートを持っていました。
このテーマに関するstackoverflowに関するたくさんの質問を読んだところ、Necrolisからいくつかの良い答えが見つかりました。EDXの場合は__fastcallを使用できます。私はグーグルでECXについて調べましたが、それは__fastcallにも使用されているようですので、ECXまたはEDXのどちらかが__fastcallを意味します。
ただし、呼び出す関数はラッパーを使用します
sub esp, 5F4h
add esp, 5F4h
retn 8
SUB ESP, XXX
最初とADD ESP, XXX
最後に_cdecl変換にのみ使用されると思う大量の調査を再度行うことについて、これが何であるかはわかりません。
私の現在のコードは次のようになります
typedef void(__fastcall *TThreeParamter)(int, int, int);
typedef void(__fastcall *TTwoParamter)(int, int);
typedef void(__fastcall *TOneParamter)(int);
typedef void(__fastcall *TZeroParamter)();
TTwoParamter sub_10636F0 = (TTwoParamter)(DWORD)GetModuleHandle(NULL) + 0xC636EF;
//the call
sub_10636F0(0x11223344, 0x55667788);
0xC636EFが10636F0
サブと異なる理由を聞かないでください。デバッガーで検査すると、サブは正しいサブに入ります。プログラムが再起動されるたびにサブは動き続けます。これは保護のようです。メソッド、またはおそらくこのプログラムが50を超えるdllをロードし、アドレスを移動する必要があるためです。
私はすべての異なる構成を試しました。2int、3intは何も機能しません。
IDAは、このメソッドを3つのパラメーターとして検出しますが、最後のパラメーターは、逆コンパイルされた疑似コードのどこにも使用されていません。
擬似コードは次のようになります(__thiscallから_fastcallに変更するなど、大幅な変更を加えました)
IDAからの擬似コード
//probably wrong.. packet is a variable not a parameter which will crash
void __fastcall sub_10636F0(int var1)
{
__int128 v1; // xmm0@0
int v2; // esi@1
int v3; // ebx@1
SOCKET v4; // ebp@1
int v5; // eax@2
int v6; // ecx@3
int v7; // [sp+8h] [bp-5FCh]@7
char a2a[1492]; // [sp+10h] [bp-5F4h]@2
int v9; // [sp+5E4h] [bp-20h]@2
int v10; // [sp+5E8h] [bp-1Ch]@2
struct _FILETIME SystemTimeAsFileTime; // [sp+5F0h] [bp-14h]@2
__int16 v12; // [sp+5F8h] [bp-Ch]@2
int packet; // [sp+608h] [bp+4h]@0
int to; // [sp+60Ch] [bp+8h]@0
v2 = to;
v3 = var1;
v4 = *(_DWORD *)(packet + 220);
if ( v4 != -1 )
{
//snipped lots of code
}
}
//probably wrong.. packet is a variable not a paramter which will crash
void __fastcall sub_10636F0(int var1, int var2)
{
__int128 v2; // xmm0@0
int v3; // esi@1
int v4; // ebx@1
SOCKET v5; // ebp@1
int v6; // eax@2
int v7; // ecx@3
int v8; // [sp+8h] [bp-5FCh]@7
char a2a[1492]; // [sp+10h] [bp-5F4h]@2
int v10; // [sp+5E4h] [bp-20h]@2
int v11; // [sp+5E8h] [bp-1Ch]@2
struct _FILETIME SystemTimeAsFileTime; // [sp+5F0h] [bp-14h]@2
__int16 v13; // [sp+5F8h] [bp-Ch]@2
int packet; // [sp+608h] [bp+4h]@0
int to; // [sp+60Ch] [bp+8h]@0
v3 = to;
v4 = var1;
v5 = *(_DWORD *)(packet + 220);
if ( v5 != -1 )
{
//snipped lots of code
}
}
//this looks the best, but still `to` isn't detected as paramter
void __fastcall sub_10636F0(int var1, int var2, int var3)
{
__int128 v3; // xmm0@0
int v4; // esi@1
int v5; // ebx@1
SOCKET v6; // ebp@1
int v7; // eax@2
int v8; // ecx@3
int v9; // [sp+8h] [bp-5FCh]@7
char a2a[1492]; // [sp+10h] [bp-5F4h]@2
int v11; // [sp+5E4h] [bp-20h]@2
int v12; // [sp+5E8h] [bp-1Ch]@2
struct _FILETIME SystemTimeAsFileTime; // [sp+5F0h] [bp-14h]@2
__int16 v14; // [sp+5F8h] [bp-Ch]@2
int to; // [sp+60Ch] [bp+8h]@0
v4 = to; //still doesn't detect this..
v5 = var1; //okay this isn't bad another parameter
v6 = *(_DWORD *)(var3 + 220); //like this detects this as parameter class atleast
if ( v6 != -1 )
{
//snipped lots of code
}
}
これはIDAがデフォルトで推奨するコードです
char __userpurge sub_10636F0@<al>(int a1@<ecx>, __int128 a2@<xmm0>, int a3, int a4)
{
int v4; // esi@1
int v5; // ebx@1
SOCKET v6; // ebp@1
int v7; // eax@2
int v8; // ecx@3
int v9; // eax@8
char v11; // [sp+8h] [bp-5FCh]@7
int v12; // [sp+10h] [bp-5F4h]@4
int v13; // [sp+24h] [bp-5E0h]@2
int v14; // [sp+28h] [bp-5DCh]@2
int v15; // [sp+2Ch] [bp-5D8h]@2
int v16; // [sp+30h] [bp-5D4h]@2
char v17; // [sp+34h] [bp-5D0h]@2
signed int v18; // [sp+5E4h] [bp-20h]@2
int v19; // [sp+5E8h] [bp-1Ch]@2
int v20; // [sp+5F0h] [bp-14h]@2
__int16 v21; // [sp+5F8h] [bp-Ch]@2
v4 = a4;
v5 = a1;
v6 = *(_DWORD *)(a3 + 220);
if ( v6 == -1 )
return 0;
//Snipped code
if ( v9 >= 0 && v9 == *(_DWORD *)(v4 + 1492) )
return 1;
return 0;
}
ASMの機能
.text:010636F0 ; void __fastcall sub_10636F0(int var1, int var2, int var3)
.text:010636F0 sub_10636F0 proc near ; CODE XREF: sub_1062960+E0p
.text:010636F0 ; sub_10637E0+D4p ...
.text:010636F0
.text:010636F0 a2 = byte ptr -5F4h
.text:010636F0 var_20 = dword ptr -20h
.text:010636F0 var_1C = dword ptr -1Ch
.text:010636F0 SystemTimeAsFileTime= _FILETIME ptr -14h
.text:010636F0 var_C = word ptr -0Ch
.text:010636F0 var_4 = dword ptr -4
.text:010636F0 packet = dword ptr 4
.text:010636F0 to = dword ptr 8
.text:010636F0 test = dword ptr 0Ch
.text:010636F0
.text:010636F0 sub esp, 5F4h
.text:010636F6 mov eax, ___security_cookie
.text:010636FB xor eax, esp
.text:010636FD mov [esp+5F4h+var_4], eax
.text:01063704 push ebx
.text:01063705 push ebp ; a5
.text:01063706 push esi ; a4
.text:01063707 mov esi, [esp+600h+to]
.text:0106370E push edi ; a3
.text:0106370F mov edi, [esp+604h+packet]
.text:01063716 mov ebx, ecx
.text:01063718 mov ebp, [edi+0DCh]
.text:0106371E cmp ebp, 0FFFFFFFFh
.text:01063721 jz loc_10637BB
SNIP TONS OF CODE HERE
.text:010637BB
.text:010637BB loc_10637BB: ; CODE XREF: sub_10636F0+31j
.text:010637BB ; sub_10636F0+BDj ...
.text:010637BB xor al, al
.text:010637BD
.text:010637BD loc_10637BD: ; CODE XREF: sub_10636F0+C9j
.text:010637BD mov ecx, [esp+604h+var_4]
.text:010637C4 pop edi
.text:010637C5 pop esi
.text:010637C6 pop ebp
.text:010637C7 pop ebx
.text:010637C8 xor ecx, esp
.text:010637CA call @__security_check_cookie@4 ; __security_check_cookie(x)
.text:010637CF add esp, 5F4h
.text:010637D5 retn 8
.text:010637D5 sub_10636F0 endp ; sp-analysis failed
ASMでのこの関数の呼び出し
.text:010638B0 push esi ; packet
.text:010638B1 push ebx ; this
.text:010638B2 mov ecx, ebp ; this
.text:010638B4 call sub_10636F0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.text:01062A2E mov byte ptr [esi+5E9h], 1
.text:01062A35
.text:01062A35 loc_1062A35: ; CODE XREF: sub_1062960+C1j
.text:01062A35 add dword ptr [esi+5D4h], 2
.text:01062A3C push esi ; packet
.text:01062A3D push edi ; this
.text:01062A3E mov ecx, ebx ; this
.text:01062A40 call sub_10636F0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.text:01063AF4 mov eax, [ebx+1128h]
.text:01063AFA mov [esp+1A4h+var_AC], eax
.text:01063B01 push esi ; packet
.text:01063B02 lea eax, [esp+1A8h+to]
.text:01063B06 push eax ; this
.text:01063B07 mov ecx, ebx ; this
.text:01063B09 mov [esp+1ACh+var_4], 1
.text:01063B14 call sub_10636F0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.text:01089145 loc_1089145: ; CODE XREF: sub_10890B0+4Fj
.text:01089145 ; sub_10890B0+67j
.text:01089145 mov ecx, [edi+110h] ; this
.text:0108914B push esi ; packet
.text:0108914C push edi ; this
.text:0108914D call sub_10636F0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.text:01089CBA mov ecx, [esi+110h] ; this
.text:01089CC0 push edi ; packet
.text:01089CC1 push esi ; this
.text:01089CC2 call sub_10636F0
これが何であるか私にはわかりません。
SUB ESP, XXX
最初とADD ESP, XXX
最後に_cdecl
変換のためだけに使用されていると思うたくさんの研究を行っています。
いいえ、ローカル変数を使用するすべての関数に使用されます(正確な方法はわずかですが、スタックスペースはESPから減算して割り当て、スタックポインターに同じ量を追加して「解放」する必要があります。
ただし、RET 8
実際には、呼び出し規約がでは_cdecl
なく、スタックが呼び出し先によってクリーンアップされる規約であることを示しています。あり、いくつかの異なる呼び出し規約、これを一致させるが、私はそれがC ++のコードだ気持ちと、それになるだろうメンバ関数を持っているthiscall
-あなたがしたいことから、それは少し難しいシミュレートするために作るんようthis
にECX
。
ret 8
関数は、引数の8バイトの価値は、その2持っていることを述べているint
かvoid *
の変数を。
これを行う簡単な方法があると私は確信していません。あなたはこのようなことをすることができるかもしれません。class X
2つの引数を取る仮想関数を使用してを作成します。
class X
{
virtual void Func(int x, int y) { }
};
次に、コンパイラがvtableを配置func
する場所を特定し、クラスの空の実装ではなく、ターゲット関数を指すようにvtableを変更します。
これで、を使用X
してインスタンスを作成できます。
X* p = new X;
次に、を呼び出しますfunc
。
p->func(1, 2);
ただし、運が悪ければ、コンパイラはvtableをいじったことに気づかず、関数を直接呼び出すことになります。したがって、個別のコンパイルやその他のものを使用して、いくつかのトリックを行う必要がある場合があります。
言い換えれば、あなたはあなたの仕事を切り取っています。しかし、少し騙す必要がなければ、リバースエンジニアリングはまったく面白くありません。
もちろん、詐欺師の方法は、次のようにインラインアセンブラを数行書くだけです。
void CallMyFunc(void *func, int a, int b, int c)
{
__asm(mov ecx, a
push b
push c
call *func);
}
[Windowsインラインアセンブリコードを最後に作成してから約10年です。構文が正しくない場合は、お詫びします。「大まかなスケッチ」と見なし、実際にコンパイルされるまで変更してください...]
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加