问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

如何反汇编获知dll中函数的参数

发布网友 发布时间:2022-04-26 16:00

我来回答

2个回答

热心网友 时间:2023-10-13 06:51

可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。
现在使用W32DSM来具体说明:
1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。
它可以直接定位到该函数。
2。看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp

3。然后往下找到该函数的出口,一般函数出口有以下语句。

ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数
。。。。
-------------------------------------------
还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。
-------------------------------------------------
还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
----------------------------------------------
到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。对于以上的分析,本人只其到了抛砖引玉,
希望对大家有点用处。

昨天已经简单的告诉大家,怎么知道接口的参数个数了,以及简单的接口。由于编译器的优化原因,
可能有的参数没有我前面说的那么简单,今天就让我再来分析一下的DLL的调用的接口。如果在该DLL的
某个函数中,有关于API调用的话,并且调用API的参数整好有一个或多个是该DLL函数的参数的话。
那么就可以很容易的知道该DLL函数的参数了。
举例说明:以下汇编代码通过W32DSM得到。
Exported fn(): myTestFunction - Ord:0001h
:10001010 8B442410 mov eax, dword ptr [esp+10]
:10001014 56 push esi
:10001015 8B74240C mov esi, dword ptr [esp+0C]
:10001019 0FAF742410 imul esi, dword ptr [esp+10]
:1000101E 85C0 test eax, eax
:10001020 7414 je 10001036
:10001022 8B442418 mov eax, dword ptr [esp+18]
:10001026 8B4C2408 mov ecx, dword ptr [esp+08]
:1000102A 6A63 push 00000000
:1000102C 50 push eax
:1000102D 51 push ecx
:1000102E 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BEh
|
:10001030 FF15B0400010 Call dword ptr [100040B0]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001020(C)
|
:10001036 8BC6 mov eax, esi
:10001038 5E pop esi
:10001039 C3 ret
-------------------------------------------------------
其中myTestFunction是需要分析的函数,它的里面调用了USER32.MessageBoxA
这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口
的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4 =4
PUSH之后的语句ESP+ XX,
其中(XX-4)/4才对应于第几个参数。
ESP+0C ==第2个参数
ESP+10 ==第3个参数
ESP+18 ==第5个参数
ESP+08 ==第1个参数
----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,
PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,
由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器
是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,
long myTestFunction(long p1,long p2,long p3,long p4,long p5);
但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数
多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的
参数呢?请看下面分析:
你有没有看到* Reference T USER32.MessageBoxA, Ord:01BEh这一条语句,
这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:
int MessageBox(
HWND hWnd, // handle of owner window
LPCTSTR lpText, // address of text in message box
LPCTSTR lpCaption, // address of title of message box
UINT uType // style of message box
);
它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程
翻译为伪ASM就是:
PUSH uType
PUSH lpCaption
PUSH lpText
PUSH hWnd
CALL MessageBox
---------------------------------------
我们把这个于上面的语句对应一下,就可以清楚的知道
hWnd = NULL(0)
lpText = ecx
lpCaption = eax
uType = MB_OK(0)
---------------------------------
在往上面看,
原来 EAX 中的值是ESP+18中的内容得到了
ECX 中的值是ESP+08中的内容得到了

那么到现在为止就可以知道
lpText = ECX = [ESP+08] ==第1个参数
lpCaption = EAX = [ESP+18] ==第5个参数

现在我们可以把该DLL函数接口进一步写成:
long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

至于第3个参数ESP+10,然后找到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。
因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C
肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,
mov eax, dword ptr [esp+10]
test eax, eax
je 10001036
看到这个参数的用法了吗?
把它翻译位C语言就是:
if(p3)
{
//做je 10001036下面的那些指令
}
return ;
到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。

好了,到现在位置可以把正确的接口给列出来了:
long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);
哈哈,现在成功了!!!

long CryptExtOpenCER(long p1,long p2,LPCSTR p3,long p4);
其中第3个参数可能是文件名称,
或者是PCERT_BLOB
它有CERT_QUERY_OBJECT_FILE,或者是CERT_QUERY_OBJECT_BLOB来决定。
---------------------------------------------------------------
今天想到了一个很好的办法,来解决参数的问题,不过有一定难度。
1。根据以前讲的各种方法,可以很快速的知道参数的个数,假设该函数
名称为MyTestFunc,参数的个数为3个。
于是可以定义如下:
long MyTestFunc(long p1,long p2,long p3);
2。安装一个HOOK(DLL)
3。通过别的程序调用,触发HOOK,调试到HOOK里面,就可以很清楚的知道
调用的参数,数值。
-------------
此方法本人还没有去实现,相信肯定是可以的。这样得到的参数应该相当准确。

热心网友 时间:2023-10-13 06:51

1、应用程序的DLL
1)、可以用Ollydbg,在调用函数时,会有一串push指令,根据push的内容,判断是数据参数,还是指针参数。
2)、可以用ida ,这个是静态反汇编的神器,一般的DLL载入后,按F5是可以直接生成 C语言的伪代码的。虽然称伪代码,简单修改就可以当源码编译。
2、系统的DLL文件
要研究系统 DLL的导出函数参数,除了SDK、WDK提供的之外,只能通过WINDBG 进行内核高度,在sysenter后,会进入ring0领空中,根据context状态进行分析。
3、不算什么复杂的事情,但是一定要有深厚的调试能力。
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
怎么才能让孩子感知到父母的爱? ...准备入手一个 努比亚(nubia)小牛4 Z9mini 全黑 努比亚(nubia)小牛4 z9mini 怎么样 同样的价格,努比亚z9 mini和小米4该买哪台? 魅蓝ntoe电信吧和努比亚Z9 mini 怎么选择 请问性生活之前要注意什么卫生…之后又注意些什么卫生啊… 更改win10电脑系统语言win10电脑怎么将系统语言换成中文 win10电脑语言设置win10如何更改系统语言 Win10电脑改成英文如何将Win10中文版系统改为英文版 windows10中文版怎么改英语 win10中文版系统怎么改成英文版 反汇编dll,求此函数的调用方法 华为内屏打了,换屏多少钱。机型SLA-AL00 你好华为荣耀10的内外屏换下来多少钱 华为荣耀9i换个内外屏要多少钱? 薪税师考试报名时间确定了吗? 薪税师报考指南,来看! 怎样煮螃蟹可以缓解它的痛苦? 华为JRE -AN10是什么机型? 华为els an10新机怎么操作? 昆虫如何逃过蝙蝠的超声波? 米酒的进 米酒为什么要二次发酵 米酒最后发酵后,味道有奌酸有奌苦,正常吗 谁知道孝感米酒怎么做? 用围绕一个句子写一段话,有的有的还有的? 米酒发酵温度对产品质量的影响 用有的……有的……有的……有的……写一段话。 用下课了操场上真热闹有的什么有的什么还有的什么所有的什么写一段话 写一段话,用上“有……有……还有……更有……”的句式 用“有的……有的……有的……有的……”写一段话。 谁能告诉我 这段 反汇编是什么意思 刚学 反汇编。。 win32汇编程序中被调用的api函数在反汇编时被翻译汇编指令是不是有固定的特征…一时兴起、求解? 为什么反汇编call 不能直接跳转到函数 我问一下很菜的问题 如何在C++中 调用几个相同的API函数 这几个相同的函数 反汇编的汇编代码一样吗 怎么理解函数调用的保存现场 调用失败的返回 生存期?最好能举例说明 调用函数和被调用函数之间的参数传递是通过什么来传的 什么软件能将C语言的执行文件反汇编为汇编源代码 OD反汇编,如何正确地Call一个函数 关于反汇编中this指针的问题 C语言和汇编语言的相互调用 5.22 C语言,下面函数调用语句里含有实参的个数为 怎么让objdump反汇编不出函数名 在反汇编中CALL是什么意思的函数?怎样执行的? 函数调用后不返回原来的函数怎么回事 谭号强C++程序设计里面函数调用fun(i,++i)的问题。 中间有句歌词是 2个人一起散着步 的歌的歌名叫什么 想起两个人也一起散着步是哪首歌里的 场景 两个人一起散着步 我的头也轻轻贴着你的胸口 缘分尽了,两个人也就散了,你再怎么执着还是会散,你觉得呢? 两个人一起散步、就是最浪漫的事