iniwf

内核反编译学习笔记2

内核反编译学习笔记2（上）

本节任务：通过具有不同数量参数的函数调用，看其中区别
所用程序bz3
需要掌握：
windbg命令：
uf 反汇编
dd 查看内容

调用的时候：
mov     给参数赋值
push   eax 供函数使用的参数
被调用函数内部
push    ebp         保存ebp，用来保存调用前运行的代码地址
mov     ebp,esp     将esp赋值给ebp，现在有新的ebp指针了,指向栈顶

pop     ebp         恢复ebp，取得地址，准备跳到那地址的代码，继续运行程序

需要了解
JMP    无条件跳转，去运行跳转后地址的代码
ret     8           返回，注意,调用前每push一个参数，esp就-4，两个参数就-8，ret的时候，需要+8返回

无需了解：
call=push+JMP
ret = pop+JMP      将在后面继续说明

//先贴代码，仔细看其实很简单

VOID MyP0()
{
 DbgPrint("no arg...\r\n");
}

VOID MyP1(ULONG u1)
{
 DbgPrint("One arg:%d\n!",u1);
}

VOID MyP2(ULONG u1,ULONG u2)
{
   ULONG u3;
   u3 = u1+u2;
   DbgPrint("two arg:%d\n!",u3);

}
 

VOID DriverUnload(PDRIVER_OBJECT driver)
{
 
 DbgPrint("unload…\r\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
 ULONG x1 = 5;
 ULONG x2 = 8;
 
 
 
#if DBG
       _asm int 3
#endif
 
 MyP0();
 MyP1(x1);
 MyP2(x1,x2);
 

 
 driver->DriverUnload = DriverUnload;
 return STATUS_SUCCESS;
}

//////代码结束

以下分别为Entry主函数和3个自定义函数的反汇编。
汇编完了先放那，具体解析在下面。

kd> uf bz3!driverentry
bz3!DriverEntry [d:\mydriver\bz3\bz3.c @ 31]:
   31 f8451520 8bff            mov     edi,edi
   31 f8451522 55              push    ebp
   31 f8451523 8bec            mov     ebp,esp
   31 f8451525 83ec08          sub     esp,8
   32 f8451528 c745f805000000  mov     dword ptr [ebp-8],5
   33 f845152f c745fc08000000  mov     dword ptr [ebp-4],8
   38 f8451536 cc              int     3
   41 f8451537 e854ffffff      call    bz3!MyP0 (f8451490)
   42 f845153c 8b45f8          mov     eax,dword ptr [ebp-8]
   42 f845153f 50              push    eax
   42 f8451540 e86bffffff      call    bz3!MyP1 (f84514b0)
   43 f8451545 8b4dfc          mov     ecx,dword ptr [ebp-4]
   43 f8451548 51              push    ecx
   43 f8451549 8b55f8          mov     edx,dword ptr [ebp-8]
   43 f845154c 52              push    edx
   43 f845154d e87effffff      call    bz3!MyP2 (f84514d0)
   47 f8451552 8b4508          mov     eax,dword ptr [ebp+8]
   47 f8451555 c74034001545f8  mov     dword ptr [eax+34h],offset bz3!DriverUnload (f8451500)
   48 f845155c 33c0            xor     eax,eax
   49 f845155e 8be5            mov     esp,ebp
   49 f8451560 5d              pop     ebp
   49 f8451561 c20800          ret     8
  

内核反编译学习笔记2（下）

三个自定义：
kd> uf bz3!myp0
bz3!MyP0 [d:\mydriver\bz3\bz3.c @ 5]:
    5 f8451490 8bff            mov     edi,edi
    5 f8451492 55              push    ebp
    5 f8451493 8bec            mov     ebp,esp
    6 f8451495 68701545f8      push    offset bz3! ?? ::FNODOBFM::`string' (f8451570)
    6 f845149a e8cb000000      call    bz3!DbgPrint (f845156a)
    6 f845149f 83c404          add     esp,4
    7 f84514a2 5d              pop     ebp
    7 f84514a3 c3              ret
kd> uf bz3!myp1
bz3!MyP1 [d:\mydriver\bz3\bz3.c @ 10]:
   10 f84514b0 8bff            mov     edi,edi
   10 f84514b2 55              push    ebp
   10 f84514b3 8bec            mov     ebp,esp
   11 f84514b5 8b4508          mov     eax,dword ptr [ebp+8]
   11 f84514b8 50              push    eax
   11 f84514b9 68801545f8      push    offset bz3! ?? ::FNODOBFM::`string' (f8451580)
   11 f84514be e8a7000000      call    bz3!DbgPrint (f845156a)
   11 f84514c3 83c408          add     esp,8
   12 f84514c6 5d              pop     ebp
   12 f84514c7 c20400          ret     4
kd> uf bz3!myp2
bz3!MyP2 [d:\mydriver\bz3\bz3.c @ 15]:
   15 f84514d0 8bff            mov     edi,edi
   15 f84514d2 55              push    ebp
   15 f84514d3 8bec            mov     ebp,esp
   15 f84514d5 51              push    ecx
   17 f84514d6 8b4508          mov     eax,dword ptr [ebp+8]
   17 f84514d9 03450c          add     eax,dword ptr [ebp+0Ch]
   17 f84514dc 8945fc          mov     dword ptr [ebp-4],eax
   18 f84514df 8b4dfc          mov     ecx,dword ptr [ebp-4]
   18 f84514e2 51              push    ecx
   18 f84514e3 68901545f8      push    offset bz3! ?? ::FNODOBFM::`string' (f8451590)
   18 f84514e8 e87d000000      call    bz3!DbgPrint (f845156a)
   18 f84514ed 83c408          add     esp,8
   20 f84514f0 8be5            mov     esp,ebp
   20 f84514f2 5d              pop     ebp
   20 f84514f3 c20800          ret     8
  
  
   正式开始我们的任务
   ////////////
   以下为Entry中调用函数的反汇编代码
  
         call    bz3!MyP0 (f8451490)     ;无参数
        
         mov     eax,dword ptr [ebp-8]   ;1个参数
         push    eax
         call    bz3!MyP1 (f84514b0)    
        
         mov     ecx,dword ptr [ebp-4]   ;2个参数
         push    ecx
         mov     edx,dword ptr [ebp-8]
         push    edx
         call    bz3!MyP2 (f84514d0)   

   显然我们可以得出结论：
   在调用函数的时候，无参数，直接call，
   有参数，有几个要push几个，把eax等寄存器内的数据入栈:push exx
   eax,edx等寄存器内的数据哪里来的呢？通过mov，从存放地点移动过来赋值。
  
  
  //接下来我们进入函数内部，要动态追踪下面代码。以后每次看见这样代码，明白道理，就直接忽略：
  push    ebp         保存ebp
  mov     ebp,esp     保存esp

  pop     ebp         获得ebp
  ret     8           返回，注意，后面为什么是8
 
  我们先看一下Entry调用MyP0处的地址：
   38 f8451536 cc              int     3
   41 f8451537 e854ffffff      call    bz3!MyP0 (f8451490)
   42 f845153c 8b45f8          mov     eax,dword ptr [ebp-8]
  
   显然调用MyP0后，要运行f845153c的代码。然后我们到函数内部看
     push    ebp         中ebp的内容，是不是f845153c
    
  进入windbg:
//////////////////////////
  kd> t
bz3!DriverEntry+0x17:
f8451537 e854ffffff      call    bz3!MyP0 (f8451490)
kd> t
bz3!MyP0:
f8451490 8bff            mov     edi,edi
kd> p
bz3!MyP0+0x5:
f8451495 68701545f8      push    offset bz3! ?? ::FNODOBFM::`string' (f8451570)
kd> dd ebp
f8282c6c  f8282c7c f845153c 00000005 00000008
//////////////////
呵呵，没错，f845153c,5,8,都是要用的。
下面两个地址也应该出现在下面两个函数的ebp中,不然程序返回后不知道继续运行哪里的代码。
 f8451545 f8451552
 
 顺便看下类似下面命令是什么意思
 mov     eax,dword ptr [ebp+8]
 
我们要知道 ebp+8，要先看下ebp:
 
kd> dd ebp
f8282c64：  f8282c7c f8451552 00000005 00000008

可以看到，ebp+4就是f8451552，返回后继续运行的地址，ebp+8当然是5了,ebp+12(哦，要16进制:ebp+c)是8。
那我们直接看下dd ebp+8：
kd> dd ebp+8
f8282c6c:   00000005 00000008 00000005 00000008
kd> dd ebp+c
f8282c70：  00000008 00000005 00000008 f8282d4c

应该没疑问了。
 
//////////////
以后看汇编代码的时候，可以忽略：
  push    ebp         保存返回地址
  mov     ebp,esp     设置新的ebp指针，指向栈顶
中间是具体实现
  pop     ebp         获得返回地址
  ret     8           返回

只看这些代码中间的代码就可以了，以后直接贴这些代码中间的实现。

posted on 2010-04-18 19:02 iniwf 阅读(653) 评论(0)  编辑 收藏 引用 所属分类: 驱动 、反汇编