[分享]简单的函数逆向（还原）-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [分享]简单的函数逆向（还原） 0.00雪花

发表于: 2011-9-2 01:15 5756

[旧帖] [分享]简单的函数逆向（还原） 0.00雪花

天高

2011-9-2 01:15

5756

看过论坛的一些关于逆向的贴子

说说我的看法：逆向工程并不是对代码进行分析就算了，实际上要对工程进行一定的还原（源代码形式），当然难度挺大，要对算法非常熟悉。要系统的数据结构非常熟悉，才有能力推还原工程的数据结构。

这里仅对一个简短的函数进行还原，当然并不可能还原为原作者源代码，是还原为在函数的逻辑思想上最接近的形式。

ntdll!memcpy_s:
00000000`77abee8c 48895c2408      mov     qword ptr [rsp+8],rbx
00000000`77abee91 4889742410      mov     qword ptr [rsp+10h],rsi
00000000`77abee96 57              push    rdi
00000000`77abee97 4883ec30        sub     rsp,30h
00000000`77abee9b 498bd9          mov     rbx,r9
00000000`77abee9e 498bf0          mov     rsi,r8
00000000`77abeea1 488bfa          mov     rdi,rdx
00000000`77abeea4 4d85c9          test    r9,r9
00000000`77abeea7 7504            jne     ntdll!memcpy_s+0x21 (00000000`77abeead)
 
ntdll!memcpy_s+0x1d:
00000000`77abeea9 33c0            xor     eax,eax
00000000`77abeeab eb1c            jmp     ntdll!memcpy_s+0x3d (00000000`77abeec9)
 
ntdll!memcpy_s+0x21:
00000000`77abeead 4885c9          test    rcx,rcx
00000000`77abeeb0 7527            jne     ntdll!memcpy_s+0x4d (00000000`77abeed9)
 
ntdll!memcpy_s+0x26:
00000000`77abeeb2 48214c2420      and     qword ptr [rsp+20h],rcx
00000000`77abeeb7 4533c9          xor     r9d,r9d
00000000`77abeeba 4533c0          xor     r8d,r8d
00000000`77abeebd 33d2            xor     edx,edx
00000000`77abeebf e85c95ffff      call    ntdll!invalid_parameter (00000000`77ab8420)
 
ntdll!memcpy_s+0x38:
00000000`77abeec4 b816000000      mov     eax,16h
 
ntdll!memcpy_s+0x3d:
00000000`77abeec9 488b5c2440      mov     rbx,qword ptr [rsp+40h]
00000000`77abeece 488b742448      mov     rsi,qword ptr [rsp+48h]
00000000`77abeed3 4883c430        add     rsp,30h
00000000`77abeed7 5f              pop     rdi
00000000`77abeed8 c3              ret
 
ntdll!memcpy_s+0x4d:
00000000`77abeed9 4d85c0          test    r8,r8
00000000`77abeedc 7412            je      ntdll!memcpy_s+0x64 (00000000`77abeef0)
 
ntdll!memcpy_s+0x52:
00000000`77abeede 483bd3          cmp     rdx,rbx
00000000`77abeee1 720d            jb      ntdll!memcpy_s+0x64 (00000000`77abeef0)
 
ntdll!memcpy_s+0x57:
00000000`77abeee3 4c8bc3          mov     r8,rbx
00000000`77abeee6 488bd6          mov     rdx,rsi
00000000`77abeee9 e8e2f7fbff      call    ntdll!memcpy (00000000`77a7e6d0)
00000000`77abeeee ebb9            jmp     ntdll!memcpy_s+0x1d (00000000`77abeea9)
 
ntdll!memcpy_s+0x64:
00000000`77abeef0 4c8bc2          mov     r8,rdx
00000000`77abeef3 33d2            xor     edx,edx
00000000`77abeef5 e8d63ffcff      call    ntdll!memset (00000000`77a82ed0)
00000000`77abeefa 4885f6          test    rsi,rsi
00000000`77abeefd 7505            jne     ntdll!memcpy_s+0x78 (00000000`77abef04)
 
ntdll!memcpy_s+0x73:
00000000`77abeeff 8d5e16          lea     ebx,[rsi+16h]
00000000`77abef02 eb0a            jmp     ntdll!memcpy_s+0x82 (00000000`77abef0e)
 
ntdll!memcpy_s+0x78:
00000000`77abef04 483bfb          cmp     rdi,rbx
00000000`77abef07 73bb            jae     ntdll!memcpy_s+0x38 (00000000`77abeec4)
 
ntdll!memcpy_s+0x7d:
00000000`77abef09 bb22000000      mov     ebx,22h
 
ntdll!memcpy_s+0x82:
00000000`77abef0e 488364242000    and     qword ptr [rsp+20h],0
00000000`77abef14 4533c9          xor     r9d,r9d
00000000`77abef17 4533c0          xor     r8d,r8d
00000000`77abef1a 33d2            xor     edx,edx
00000000`77abef1c 33c9            xor     ecx,ecx
00000000`77abef1e e8fd94ffff      call    ntdll!invalid_parameter (00000000`77ab8420)
00000000`77abef23 8bc3            mov     eax,ebx
00000000`77abef25 eba2            jmp     ntdll!memcpy_s+0x3d (00000000`77abeec9)

这是 windows 7 64 位系统上 ntdll 模块的一个非常简短的函数 memcpy_s() ，结果并不重要，重要的是过程

1. 确定函数的参数个数

在 64 位 windows 系统上，函数的传递方式相对简单，统一使用寄存器进行传递参数，分别使用：

rcx

rdx

以及

寄存器来传递前 4 个参数，多余的参数依旧使用 stack 来传递。

在这个函数中，我们看到使用到了

寄存器，因此，我们可以判断这个函数共有 4 个参数，下面是 memcpy_s() 函数的原型初形：

memcpy_s(arg1, arg2, arg3, arg4)

分别用 arg1 - arg4 来表示，函数的返回值先暂时放一边，随着分析过程的展开进行填补。

2. 第 4 个参数的处理

下面看看代码：

00000000`77abeea4 4d85c9 test r9,r9 ; arg4

00000000`77abeea7 7504 jne ntdll!memcpy_s+0x21 (00000000`77abeead)

ntdll!memcpy_s+0x1d:

00000000`77abeea9 33c0 xor eax,eax ; 返回值

00000000`77abeeab eb1c jmp ntdll!memcpy_s+0x3d (00000000`77abeec9)

... ...

ntdll!memcpy_s+0x3d:

00000000`77abeec9 488b5c2440 mov rbx,qword ptr [rsp+40h]

00000000`77abeece 488b742448 mov rsi,qword ptr [rsp+48h]

00000000`77abeed3 4883c430 add rsp,30h

00000000`77abeed7 5f pop rdi

00000000`77abeed8 c3 ret

从上面可以看到，这里先判断

arg4

参数，如果为 0 的话，它最终将会函数返回。

于是，我们可以得到下面的逻辑：

1 2	`if` `(arg4 == 0)` `return` `0;`

3. 第 1 个参数的处理

下面看代码：

ntdll!memcpy_s+0x21:

00000000`77abeead 4885c9 test rcx,rcx

00000000`77abeeb0 7527 jne ntdll!memcpy_s+0x4d (00000000`77abeed9)

ntdll!memcpy_s+0x26:

00000000`77abeeb2 48214c2420 and qword ptr [rsp+20h],rcx

00000000`77abeeb7 4533c9 xor r9d,r9d

00000000`77abeeba 4533c0 xor r8d,r8d

00000000`77abeebd 33d2 xor edx,edx

00000000`77abeebf e85c95ffff call ntdll!invalid_parameter (00000000`77ab8420)

ntdll!memcpy_s+0x38:

00000000`77abeec4 b816000000 mov eax,16h

ntdll!memcpy_s+0x3d:

00000000`77abeec9 488b5c2440 mov rbx,qword ptr [rsp+40h]

00000000`77abeece 488b742448 mov rsi,qword ptr [rsp+48h]

00000000`77abeed3 4883c430 add rsp,30h

00000000`77abeed7 5f pop rdi

00000000`77abeed8 c3 ret

如果，第 1 个参数 arg1 为 0 的话，它将调用 invalid_parameter() 函数，返回一个代码值（

返回状态

！）

invalid_parameter() 调用用先将 rdx, r8 以及 r9 寄存清 0，那么这里我姑且认为它也是 4 个参数（注意：这里使用了

edx

r8d

和

r9d

寄存器，说明这些参数是

位值）并且我们知道 memcpy_s() 函数应该是返回一个状态值！

现在，我们又可以得出它的逻辑（结果起来)：

STATUS memcpy_s(arg1, arg2, arg3, arg4)
{
        if (arg4 == 0)
                return 0;
 
        if (arg1 == 0)
        {
                 invalid_parameters(arg1, 0, 0, 0);
                 return 0x16;                                              // 状态值
         }
}

3. 第 3 个参数的处理

假如，第 1 个参数 arg1 不为 0 的时候呢？

ntdll!memcpy_s+0x21:

00000000`77abeead 4885c9 test rcx,rcx

00000000`77abeeb0 7527 jne ntdll!memcpy_s+0x4d (00000000`77abeed9)

... ...

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・13

免费・6

支持

赞赏记录

参与人

雪币

留言

时间

伟叔叔

为你点赞~

2024-5-31 02:06

心游尘世外

为你点赞~

2024-3-3 03:26

飘零丶

为你点赞~

2024-2-24 02:08

QinBeast

为你点赞~

2024-1-28 01:42

shinratensei

为你点赞~

2024-1-23 03:11

PLEBFE

为你点赞~

2023-3-7 02:01

最新回复 (21)
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 2 楼现在，我们可以知道，memcpy_s() 函数是如何保证它的安全性：当目标 buffer 大小不足放下要复制的数量时，会失败返回失败状态值。避免 override 缓冲区 2011-9-2 01:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼顶，楼主有没兴趣一起玩逆向，交个朋友可以吗？ 2011-9-2 09:38 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 4 楼我也只是玩玩而已交朋友当然可以 2011-9-2 09:57 0
欲思断雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	欲思断 5 楼菜鸟一只也来看看。。。。努力中。。。 2011-9-2 10:11 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 6 楼来支持一下不错 2011-9-2 10:22 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 7 楼分析得不错，支持。 2011-9-2 11:00 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 8 楼呵呵。楼主很棒，分析的很透彻。。 memcpy_s 这函数只提供汇编源码。。 2011-9-2 17:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼兄弟，你QQ多少 2011-9-2 18:02 0
ycmint 雪币： 1149 活跃值： (1003) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 10 关注私信	ycmint 5 10 楼不要加小韬子.....嘿嘿。。。他是个坏孩子...... 2011-9-2 19:50 0
oemcg 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	oemcg 11 楼楼主分析得很到位，不过，如果在分析的时候先把流程图画下，可能效果会更好 2011-9-2 20:42 0
hackroad 雪币： 4910 活跃值： (4133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	hackroad 12 楼分析的很详细 2011-9-3 08:01 0
ryanxili 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ryanxili 13 楼正在学习。。。 2011-9-3 14:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 14 楼晕。这函数本来就是汇编写的。 2011-9-3 14:58 0
volcanic 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	volcanic 15 楼你怎么知道他是坏孩子。O(∩_∩)O~ 2011-9-7 14:46 0
Kasskyper 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	Kasskyper 16 楼学到不少,感谢. 2011-9-23 09:49 0
gao超雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	gao超 17 楼学习。。。 2011-9-23 21:33 0
xx、学习雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	xx、学习 18 楼辛苦辛苦好好品味一下咯、、、 2011-10-2 10:59 0
手机宰雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	手机宰 19 楼刚看到真是个好帖子啊值得我们学习 2011-10-16 08:12 0
ebaqiang 雪币： 30 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 20 粉丝 1 关注私信	ebaqiang 20 楼楼主分析很透彻,学习一下,相当不错. 2011-10-16 13:31 0
Dnail 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	Dnail 21 楼 2011-10-16 14:08 0
zhenyangy 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zhenyangy 22 楼不错哦，。 2016-5-17 13:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天高

发帖

166

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 2 楼现在，我们可以知道，memcpy_s() 函数是如何保证它的安全性：当目标 buffer 大小不足放下要复制的数量时，会失败返回失败状态值。避免 override 缓冲区 2011-9-2 01:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼顶，楼主有没兴趣一起玩逆向，交个朋友可以吗？ 2011-9-2 09:38 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 4 楼我也只是玩玩而已交朋友当然可以 2011-9-2 09:57 0
欲思断雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	欲思断 5 楼菜鸟一只也来看看。。。。努力中。。。 2011-9-2 10:11 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 6 楼来支持一下不错 2011-9-2 10:22 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 7 楼分析得不错，支持。 2011-9-2 11:00 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 8 楼呵呵。楼主很棒，分析的很透彻。。 memcpy_s 这函数只提供汇编源码。。 2011-9-2 17:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼兄弟，你QQ多少 2011-9-2 18:02 0
ycmint 雪币： 1149 活跃值： (1003) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 10 关注私信	ycmint 5 10 楼不要加小韬子.....嘿嘿。。。他是个坏孩子...... 2011-9-2 19:50 0
oemcg 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	oemcg 11 楼楼主分析得很到位，不过，如果在分析的时候先把流程图画下，可能效果会更好 2011-9-2 20:42 0
hackroad 雪币： 4910 活跃值： (4133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	hackroad 12 楼分析的很详细 2011-9-3 08:01 0
ryanxili 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ryanxili 13 楼正在学习。。。 2011-9-3 14:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 14 楼晕。这函数本来就是汇编写的。 2011-9-3 14:58 0
volcanic 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	volcanic 15 楼你怎么知道他是坏孩子。O(∩_∩)O~ 2011-9-7 14:46 0
Kasskyper 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	Kasskyper 16 楼学到不少,感谢. 2011-9-23 09:49 0
gao超雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	gao超 17 楼学习。。。 2011-9-23 21:33 0
xx、学习雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	xx、学习 18 楼辛苦辛苦好好品味一下咯、、、 2011-10-2 10:59 0
手机宰雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	手机宰 19 楼刚看到真是个好帖子啊值得我们学习 2011-10-16 08:12 0
ebaqiang 雪币： 30 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 20 粉丝 1 关注私信	ebaqiang 20 楼楼主分析很透彻,学习一下,相当不错. 2011-10-16 13:31 0
Dnail 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	Dnail 21 楼 2011-10-16 14:08 0
zhenyangy 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zhenyangy 22 楼不错哦，。 2016-5-17 13:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [分享]简单的函数逆向（还原） 0.00雪花

账号登录 验证码登录

账号登录

验证码登录