逆向工程获取函数原型

时间:2016-04-05 15:24:00

标签: c++ reverse-engineering dll-injection

我正在尝试使用asm函数的原型从我注入的c ++ dll中调用它。

这是功能:

PUSH EBP
MOV EBP,ESP
PUSH -1
PUSH Program.0151A5BB
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
SUB ESP,0F8
MOV EAX,DWORD PTR DS:[167D380]
XOR EAX,EBP
MOV DWORD PTR SS:[EBP-14],EAX
PUSH EBX
PUSH ESI
PUSH EDI
PUSH EAX
LEA EAX,DWORD PTR SS:[EBP-C]
MOV DWORD PTR FS:[0],EAX
MOV DWORD PTR SS:[EBP-10],ESP
MOV EDI,EDX
MOV ESI,ECX
MOV DWORD PTR SS:[EBP-4],0
CMP ESI,0FFFF
JE SHORT Program.0117DFC9
CALL Program.01205130
MOV ECX,82
CALL Program.012F2AE0
MOV ECX,ESI
CALL Program.012F3050
MOV ECX,EDI
CALL Program.012F3050
MOV ECX,DWORD PTR SS:[EBP+8]
CALL Program.012F2EA0
MOV ECX,DWORD PTR SS:[EBP+C]
CALL Program.012F3050
MOV ECX,DWORD PTR SS:[EBP+10]
CALL Program.012F2EA0
MOV ECX,DWORD PTR SS:[EBP+14]
CALL Program.012F2EA0
MOV CL,1
CALL Program.012F39B0
MOV DWORD PTR SS:[EBP-4],-1
MOV ECX,DWORD PTR SS:[EBP-C]
MOV DWORD PTR FS:[0],ECX
POP ECX
POP EDI
POP ESI
POP EBX
MOV ECX,DWORD PTR SS:[EBP-14]
XOR ECX,EBP
CALL Program.014BB1AC
MOV ESP,EBP
POP EBP
RETN

以下是调用此函数的示例

JMP Program.001CDD83
CALL Program.000930A0
MOV ECX,EAX
CALL Program.0024EC10
PUSH EAX                                 ; /Arg4
PUSH DWORD PTR SS:[EBP-168]              ; |Arg3
PUSH DWORD PTR DS:[EDI+8]                ; |Arg2
PUSH DWORD PTR SS:[EBP-160]              ; |Arg1
MOV EDX,DWORD PTR SS:[EBP-16C]           ; |
MOV ECX,DWORD PTR SS:[EBP-164]           ; |
CALL Program.0006DF80                      ; \<---- TARGET FUNCTION
ADD ESP,10
JMP Program.001CDD83
TEST EAX,800
JE SHORT Program.001CDF6D
TEST ESI,ESI
JE Program.001CDD83
CMP ESI,DWORD PTR DS:[72202C]
JE Program.001CDD83
CMP ESI,DWORD PTR DS:[584684]

通过函数调用,我能够推断出这是一个 __ fastcall 函数,因为它使用了 EDX ECX 寄存器,需要4个通过堆栈附加参数。

在通话时检查堆栈和寄存器我可以确定所有6个参数都是数字。

这是函数调用中状态的图片。

Registry and stack at the moment of the call

考虑到这一切,我做了这个定义

typedef void(__fastcall *_programFunction)(DWORD ECX, DWORD EDX, DWORD param1, DWORD param2, DWORD param3, DWORD param4);

它在我的目标程序中调用函数和函数工作但我的DLL 崩溃显示此错误:

调试错误! 运行时检查失败#0 - ESP的值未在函数调用中正确保存。这通常是调用使用一个调用约定声明的函数和使用不同调用约定声明的函数指针的结果。

我很确定这是一个 __ fastcall 函数,因为它是唯一一个优先于堆栈中 EDX ECX 的函数。另外调用者函数不清理堆栈,这是 __ fastcall

的另一个提示

有什么技巧可以从asm代码中推断出函数protptype吗?

我的想法有问题吗?

谢谢!

修改

我检查了 mainactual 所说的

  

ADD ESP,10你的函数调用后似乎更多__cdecl给我:调用者清理堆栈。如果是__fastcall,你应该在最后找到RET 10。 -

当我将前两个参数手动添加到ECXEDX寄存器时,它就可以工作。

像这样

typedef void(__cdecl *_targetFunction)(DWORD param1, DWORD param2, DWORD param3, DWORD param4);


_targetFunction fcall= (_targetFunction)(ADD_TARGET_FUNCTION);
__asm
        {
            mov ECX, ECX_PARAM
            mov EDX, EDX_PARAM
        }
fcall(param1, pram2, param3, param4);

谢谢!但为什么我必须这样做?有什么方法可以自动设置寄存器吗?

谢谢!

1 个答案:

答案 0 :(得分:0)

由于进行了优化,您偶尔会发现与正常的调用约定不完全匹配的函数。

在这种情况下,解决方案是使用已经在问题中完成的内联汇编:

typedef void(__cdecl *_targetFunction)(DWORD param1, DWORD param2, DWORD param3, DWORD param4);


_targetFunction fcall= (_targetFunction)(ADD_TARGET_FUNCTION);
__asm
        {
            mov ECX, ECX_PARAM
            mov EDX, EDX_PARAM
        }
fcall(param1, pram2, param3, param4);

有时候就是这样。

相关问题
最新问题