O�G/n�G�U�j�m�c01 前言:睿鑫网络 k&E�f�`$C
睿鑫网络 i(X�R�P"y�{这2天看了Secrets of Reverse Engineering一书,对分析未文档化的API的技术比较有心得,希望各位看了下面的教程,能抛砖引玉灵活的应用在逆向工程和破解技术上,方法是死的,但是人的思维是活,最重要是灵活应用。睿鑫网络�~
B�Q$|"P
!}�G8e�n�_
D$Q02 实践:
+g�C%f4b8R�Y�`0
"`�]'|�T(\5@2}0用OllyDbg对NTDLL.DLL进行反汇编,前提你要加入NTDLL.DLL的符号表,这样你才能更好的对未文档化的API进行反汇编,你们到微软官方网站获取相应版本Windows系统的系统符号表。睿鑫网络�m3o�a6G�?�]
}
u B(D
睿鑫网络/F8m+h�i6H下面是RtlInitializeGenericTable函数的反汇编代码:
�L+l�m-{.k0
.h5S'Q�C
v001 MOV EDI, EDI ;睿鑫网络�?0x*t�h�}"N9d�[�N�_�Z
�M%@/J�?�R
G0//压入堆栈,保存EBP的数值睿鑫网络�z;v�t�Y�L
D�T3G
睿鑫网络�z�J�x;}�~;o02 PUSH EBP ; 睿鑫网络�} F/H�f�I�b
�B&h)I�@�B003 MOV EBP, ESP ;
5T;f6Q(a b�}2E�R�}�t0
�^�p�U�V+h�Z�w0// 获取[ESP+8]的数值传入EAX
�] _#q3^�L!R�v�l�O0
睿鑫网络�E Y�^�v�S�o�V�G// 此处指令我们可以翻译为:
�N"v:C)]�D�n8w#^
i�x�@ \5n0
�E/a�w&q�J�J�\'m0// MOV EAX, DWORD PTR SS:[ESP+8]
4M�{-?�G�^+`�g6c0
睿鑫网络�?�M"j�u�J5c
z0l)Y�^// 含义: 把当前堆栈顶向下偏移8h处的值赋给EAX,也就是该函数的第1个参数睿鑫网络#E�c�@�E�h�c"Z�u9o
�e([/\
k�]
Y)n0// 声明:我喜欢用ESP指针来想象堆栈。但是CPU处理的话,是用EBP来进行偏移处理
$v�f�s�y
e�`*~0
�a9b�{"}0c9s%n&v�` e004 MOV EAX, DWORD PTR SS:[EBP+8] ;睿鑫网络(h�r�m1f9R�^
睿鑫网络9{*]5i0D*f�e05 XOR EDX, EDX ;
�H�@�x1y:W
],O0
�^�B.Y�l�~�y�i�{�P0// EAX+4的数值当作指针传入ECX睿鑫网络�g�K%A0i�U4j
睿鑫网络'@�S7p�@+M�f6G06 LEA ECX, DWORD PTR DS:[EAX+4] ;睿鑫网络�N�t�S�?�n�e
睿鑫网络$A*Q�b3b$?�J2k5K3v't// EDX的数值传入[EAX],说明EAX的值是某个结构的指针睿鑫网络�V*z/{�u$\�G
睿鑫网络�B�J w�?�m// 假设pUnknowStruct的地址为 EAX的数值睿鑫网络#P�|%|*D�O T
�X'_�@3^
j�h0// 07的汇编指令对应的C语言: pUnknowStruct->member1 = 0 ;
�P�t
V'H,P%[0
睿鑫网络 Z9V�J�M3a07 MOV DWROD PTR DS:[EAX], EDX ;睿鑫网络�K�N
R�p�]�Q N+k1l-e#Z
睿鑫网络�w%n-J�R2k// 此处指令我们可以翻译为:睿鑫网络�k!o
^�A�{�i5[�\,P�~
J.L
睿鑫网络�D$}�K7D�E7m)d'c,c�_�w// MOV DWORD PTR DS:[EAX+8], EAX+4 ;睿鑫网络-U�m'd%_�B-R�[�I
睿鑫网络*g�q#N3I�v X�s// 备注: [EAX] 为某结构的第1个变量
�E�T�K!b�~!^0
睿鑫网络;g�Z-@ ?�r�r�C�k�d�i#A// [EAX+4]为某结构的第2个变量睿鑫网络-X.c�S9e#E�h�f
L�k
*u�i;O�w�O�m5W�q*b0// [EAX+8]为某结构的第3个变量
+B�M+x-N�?7C6Q*V�k8[5W0
4c�V7U4_&Q
e�P0// 含义:该结构的第3个成员变量被赋于指向该结构的第2个成员变量的指针数值
&M�}�@'t�c$u%v0
7R0o�w9h"S'r�J,Y�{�z�r�@0 // 08的汇编指令对应的C语言: pUnknowStruct->member3 = &pUnknowStruct->member2睿鑫网络:p�Z�g4t7s
s�W�i
�Q7[+W6r
k-[
I'[008 MOV DWORD PTR DS:[ECX+4], ECX ;
�]�i�Q&a�J�R�d0
6d�i�I�E-o3P�a�m�l0// 此处指令我们可以翻译为:
�M�w�M�o�@�E�N0
睿鑫网络�v�]�r9\8c�y�R9K7}// MOV DWORD PTR DS:[EAX+4], EAX+4 ;
!W�Y&A�m�|0
.W�P�f8@.p�?�p�Y0// 09的汇编指令对应的C语言: pUnknowStruct->member2 = &pUnknowStruct->member2
M�~�{!{+p.i�U4]�f�`0
睿鑫网络�P�F/?(k�~�Z7J�B09 MOV DWORD PTR DS:[ECX], ECX ;睿鑫网络�X
C*g�q�c�[
!?*I'a�U�B0// 此处指令我们可以翻译为:
%x;p z�U1w�I
X0
睿鑫网络,Z6U�a�@)?�W�h$Q�_ z// MOV DWORD PTR DS:[EAX+C], EAX+4 ;
�O2h�^�G�|9K�E5F(O0
�g�A!Y�C;^�e�r�s�V�Y0// 10的汇编指令对应的C语言: pUnknowStruct->member4 = &pUnknowStruct->member2睿鑫网络 k�d8X�H9{+m
V*M
睿鑫网络3H9_"o5j5t�J*i10 MOV DWORD PTR DS:[EAX+C], ECX ;睿鑫网络3U4k'm�P;e)G9]�n!R/H
睿鑫网络�Q0p,~)M�o�f4Y)K.F�O// 此处指令我们可以翻译为:
�i�r�d�s�P4F�k
k'~0
�P�b�w�{�~�Y0// MOV ECX, DWORD PTR SS:[ESP+C]
�r�T+D�s�y0S�I:A$x0
.[3A&M,f(L0// 含义: 把当前堆栈顶向下偏移Ch处的值赋给ECX,也就是该函数的第2个参数
�v)f)[�e�R3l�J+}6E0
睿鑫网络,m�V%M�I�z
X5K11 MOV ECX, DWORD PTR SS:[EBP+C] ;睿鑫网络�U$V�B(O/S�~�W�J#o:@-C�G
�B"\�E�T
A*Y1p�U0// 含义: 把第2个参数传送给某结构的第7个成员变量
�L�d�\:]"E�r)r4^'n�D�r�U0
�W
j�w�S(l0// 12的汇编指令对应的C语言为: pUnknowStruct->member7 = Param2睿鑫网络�I�P0Z(H%s6q�d�f.n
�R�]4_�t4r K'E�n012 MOV DWORD PTR DS:[EAX+18], ECX ;
�J'~�^3b�D�h0
睿鑫网络�m*l/e5L�q// 此处指令我们可以翻译为:睿鑫网络5W%n
^4~%`�m;A�A;M�r�b
�h;]+L�k:S�l/c�t5X0// MOV ECX, DWORD PTR SS:[ESP+10]
�q#e�M�M:U.l*c0
睿鑫网络;t�M-P�q!_// 含义: 把当前堆栈顶向下偏移10h处的值赋给ECX,也就是该函数的第3个参数睿鑫网络;j&g$@;G X,G+D-|:T
�x7b�O!v�K"j!k�W013 MOV ECX, DWORD PTR SS:[EBP+10] ;
3g.[2?�I*t0
(e�g&x'R�~-i0// 含义:把参数3传给某结构的第8个成员变量
9C4O�q%j5d�O�Z0
�^:@#J%T�S�`�A�y6e(^'H0// 14的汇编指令对应的C语言为: pUnknowStruct->member8 = Param3
0i4J�{'g�]�r�J�W0
"k#Y0V7N�O/z�`#n�z014 MOV DWORD PTR DS:[EAX+1C], ECX ;睿鑫网络'P�I6Y�Y�Q�Z�{
睿鑫网络 `�t;]
{9y// 此处指令我们可以翻译为:睿鑫网络�^�q$a3B�b9M�_:a
睿鑫网络�D+t6Y+O%[// MOV ECX, DWORD PTR SS:[ESP+14]睿鑫网络�d6{$E3v4S�[�~0[
*Q:^�d�_6I�C0// 含义: 把当前堆栈顶向下偏移14h处的值赋给ECX,也就是该函数的第4个参数睿鑫网络�y�Z;V�i�A�F#H
�v(A0d)i'D�L7c-b�_0 15 MOV ECX, DWORD PTR SS:[EBP+14] ;睿鑫网络8m�a!M�i�R
E�H
睿鑫网络6x*m�K�I!_*f
y// 含义:把参数3传给某结构的第9个成员变量
�F�z0s�?�] r�z�{0
睿鑫网络3k�z4? s#|�q2A*o// 16的汇编指令对应的C语言为: pUnknowStruct->member9 = Param4
�{
D�@&Q6M
@
G+~3h0
n#m3~%E�Y�]�]8f:~�S016 MOV DWORD PTR DS:[EAX+20], ECX ;
0}�u x�p�b�r6T0
睿鑫网络!D
~�O5L�e// 此处指令我们可以翻译为:
-x2u3N4Q�x0
睿鑫网络�`/\:l�p2]�i*_�~// MOV ECX, DWORD PTR SS:[ESP+18]睿鑫网络6g�v�n�m&t _
睿鑫网络�{2Y�~"|�`9h// 含义: 把当前堆栈顶向下偏移18h处的值赋给ECX,也就是该函数的第5个参数睿鑫网络!`-c3G�u6Z�U&I(u.O
3j
d6_�S8O-O�g017 MOV ECX, DWORD PTR SS:[EBP+18] ;睿鑫网络
K�v�}6S ^
睿鑫网络�_�^
?5f�k+z�{
k// 含义:把EDX的数值赋给某结构的第6个成员变量睿鑫网络-T�A#h;t�c(u3T�I
�~�?�w�n�Y/e%\�u�Z0// 18的汇编指令对应的C语言为: pUnknowStruct->member6 = 0睿鑫网络.M'P�y�k
y
