怎么破解Dll文件,从中出里面的函数和参数的详细情况2009年01月12日 星期一 18:05首先需要知道该函数有几个参数,然后再细化参数类型。详细分析过程如下:
可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。c语言中的sprintf用法
现在使用W32DSM来具体说明:
1。先打开需要分析的DLL,然后通过菜单功能-》出口来到需要分析的函数,双击就可以了。它可以直接定位到该函数。
2。看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
...
3。然后往下到该函数的出口,一般函数出口有以下语句。
.
..
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08      //第一个参数
ebp+0C      //第二个参数
ebp+10      //第三个参数
ebp+14      //第四个参数
ebp+18      //第五个参数
ebp+1C      //第六个参数
。。。。
-
------------------------------------------
还有一种经常看到的调用方式:
sub esp,xxxx      //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret            //结尾部分
其中xxxx/4的结果也是参数的个数。
-------------------------------------------------
还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
----------------------------------------------
到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
最方便的办法就是先到是什么软件在调用此函数,然后通过调试的技术,到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。
另外由于编译器的优化原因,可能有的参数没有我前面说的那么简单。如果在该DLL的某个函数中,有关于API调用的话,
并且调用API的参数整好有一个或多个是该DLL函数的参数的话。那么就可以很容易的知道该DLL函数的参数了。
举例说明:以下汇编代码通过W32DSM得到。
Exported fn(): myTestFunction - Ord:0001h
:10001010 8B442410              mov eax, dword ptr [esp+10]
:10001014 56                  push esi
:
10001015 8B74240C           
mov esi, dword ptr [esp+0C]
:10001019 0FAF742410            imul esi, dword ptr [esp+10]
:1000101E 85C0                test eax, eax
:10001020 7414                je 10001036
:10001022 8B442418              mov eax, dword ptr [esp+18]
:10001026 8B4C2408              mov ecx, dword ptr [esp+08]
:1000102A 6A63                push 00000000
:1000102C 50                  push eax
:1000102D 51                  push ecx
:1000102E 6A00                push 00000000
* Reference To: USER32.MessageBoxA, Ord:01BEh
|
:10001030 FF15B0400010            Call dword ptr [100040B0]
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001020(C)
|
:10001036 8BC6                mov eax, esi
:10001038 5E                  pop esi
:10001039 C3                  ret
-------------------------------------------------------
其中myTestFunction是需要分析的函数,它的里面调用了USER32.MessageBoxA
这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口
的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4 =4
PUSH之后的语句ESP+ XX,
其中(XX-4)/4才对应于第几个参数。
ESP+0C ==第2个参数
ESP+10 ==第3个参数
ESP+18 ==第5个参数
ESP+08 ==第1个参数
----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,
PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,
由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器
是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,
long myTestFunction(long p1,long p2,long p3,long p4,long p5);
但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数
多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的
参数呢?请看下面分析:
你有没有看到* Reference To: USER32.MessageBoxA, Ord:01BEh这一条语句,
这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:
int MessageBox(
HWND hWnd,          // handle of owner window
LPCTSTR lpText,      // address of text in message box
LPCTSTR lpCaption, // address of title of message box
UINT uType          // style of message box
);
它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程
翻译为伪ASM就是:
PUSH uType
PUSH lpCaption
PUSH lpText
PUSH hWnd
CALL MessageBox
---------------------------------------
我们把这个于上面的语句对应一下,就可以清楚的知道
hWnd        = NULL(0)
lpText      = ecx
lpCaption =
eax
uType        = MB_OK(0)
---------------------------------
在往上面看,
原来 EAX 中的值是ESP+18中的内容得到了
ECX 中的值是ESP+08中的内容得到了
那么到现在为止就可以知道
lpText      = ECX = [ESP+08]      ==第1个参数
lpCaption = EAX = [ESP+18]      ==第5个参数
现在我们可以把该DLL函数接口进一步写成:
long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);
至于第3个参数ESP+10,然后到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。
因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C
肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,
mov eax, dword ptr [esp+10]
test eax, eax
je 10001036
看到这个参数的用法了吗?
把它翻译位C语言就是:
if(p3)
{
//做je 10001036下面的那些指令
}
return ;
到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。
好了,到现在位置可以把正确的接口给列出来了:
long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);
//---------------以上内容从www.csdn/expert/topic/l整理而来--------------------
下面使用APIHOOK2.0来分析该参数,相当方便。为了你能更好的理解下面的程序,现举一个MessageBox的例子,
假设本人不知道该函数的参数个数,及参数类型。
首相获取APIHOOK2.0(网上有的,自己一下就可以了),解开口,把系统对应的,ApiHooks.dll
放入系统目录中,或者在PATH中能到的地方。把ApiHooks.lib,ApiHooks.h放入你的工程中,需要自己建立一个,如:MyApiHook,
类型WIN32 Dynamic-Link Library,(空的),然后添加MyApiHook.cpp,该文件中的内容如下:
//--------------------------------MyApiHook.cpp文件开始-----------------------------------------
// MyApiHook.cpp : Defines the entry point for the DLL application.
//功能:把MyApiHook.dll注入到的进程中,替换中所调用的DLL中API
//具体使用如下:
//c:\>apihooks -nq MyApiHook.
//apihooks = 和 apihooks.dll
// -nq      新打开一个程序(),q不弹出信息
//MyApiHook.dll = By This File Create
// = 需要替换的程序
#include <stdio.h>
#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include "ApiHooks.h"
int (WINAPI *pFunction)(long p1,long p2,long p3, long      p4);
typedef int (WINAPI Function)(long      p1,long p2,long p3, long p4);
int WINAPI MyMessageBoxA(long p1,long p2,long p3, long p4)
{
const nCountParam = 4;
long pp[nCountParam];
pp[0] = p1,pp[1] = p2,pp[2] = p3,pp[3] = p4;
FILE *fp = fopen("c:\\1.txt
","w");
char szBuf[1024];
sprintf(szBuf, "参数内容的列表,很容易判断是否是字符串,或者为NULL\n");
fputs(szBuf, fp);
for(long i = 0; i < nCountParam; i++)
{
sprintf(szBuf,"[p*d] = 0x00000000(0)\n",i);
_try {
if(pp)
sprintf(szBuf,"[p*d] = 0x*08x(*d) \t\"*s\"\n",i,pp,pp,pp);
}_except(1,1)
{
sprintf(szBuf,"[p*d] = 0x*08x(*d)\n",i,pp,pp);
}
fputs(szBuf,fp);
}
fclose(fp);
return(pFunction(p1, p2, p3,p4));
}
exte