LastError v0.0.1 （Ida 小插件）-编程技术-看雪-安全社区|安全招聘|kanxue.com

LastError v0.0.1 （Ida 小插件）

发表于: 2005-10-17 09:11 10861

LastError v0.0.1 （Ida 小插件）

一块三毛钱

2005-10-17 09:11

10861

LastError v0.0.1 （Ida 小插件）

作者: 一块三毛钱
邮箱: zhongts@163.com
日期: 2005.10.17

使用 VC 调试可以在 watch 窗口添加 @err,hr 查看 API 调用的错误，OllyDBG 也可以查看 API 调用错误。由于 Ida 动态调试的时候没有这项功能（可能是我没有找到^_^），所以我编写了这个个小插件。

因为是第一次学习 Ida 插件的编写，很多函数的使用和调试方法都不知道，所以采用了代码中给出的拙劣手段。通过逆向 Ida 的插件模块 win32_user.plw 找到处理调试事件的代码处，把处理 EXCEPTION_DEBUG_EVENT 事件的过程地址替换成我的函数的地址，处理完后再返回原来的代码。本来是想注册通知消息 hook_to_notification_point() 来调用我的代码，但是找来找去没有找到应该使用哪一个消息，dbg_exception、dbg_breakpoint 等好象都不行。在跳转到我的代码中，首先通过 GetThreadContext 函数取得被调试进程的 fs 寄存器的值，然后读取 TEB 结构中的 LastErrorValue 成员的值得到 API 函数调用的错误。因为需要转换选择子，所以先通过 GetThreadSelectorEntry 函数把 fs 选择子转换成线性地址，然后再读取。代码中很多地方都采用了迂回的办法，本来是想通过函数 get_reg_val 读取 fs 寄存器的值，结果不管读取哪个寄存器的值该函数老是失败，不知道为什么。有没有哪位大侠知道？

/*
* LastError v0.0.1 by 一块三毛钱 (2005.10.16)
*
* 773K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4A6Z5L8$3&6Y4N6s2y4Q4x3X3g2J5k6h3M7K6y4U0g2Q4x3X3g2U0L8$3#2Q4x3U0k6F1j5Y4y4H3i4K6y4n7 zhongts@163.com
*
* IDA 调试插件，调试过程中获取 API 函数调用失败的原因
*/

#include <windows.h>

#include <ida.hpp>
#include <idp.hpp>
#include <loader.hpp>
#include <dbg.hpp>

#pragma comment(linker,"/OPT:NOWIN98")

char IDAP_comment[] = "LastError v0.0.1 by zhongts (" __DATE__ " " __TIME__ ")";
char IDAP_help[] = "GetLastError() utility\n";

char IDAP_name[] = "LastError";
char IDAP_hotkey[] = "Alt-X";

int       *lpTableAddr;
int       lpAddr;

DWORD    pid, tid;

CONTEXT    MyContext;
LDT_ENTRY SelEntry;

HANDLE    hProcess, hThread;
DWORD    dwSegAddr;
DWORD    dwReturn;
int       precode, code;

static void __declspec(naked) LastError(void)
{
/* 进入该函数的时候，[ebp-150h] 表示 DEBUG_EVENT 结构 (ida480) */
__asm
{
      pushad
      mov    eax, [ebp-14Ch]
      mov    [pid], eax
      mov    eax, [ebp-148h]
      mov    [tid], eax
}

//  msg(">>> PID = %d, TID = %d\n", pid, tid);

/* 读取线程中的 fs 寄存器的值 */
hThread = OpenThread(THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION, 0, tid);
if (hThread == NULL)
      goto exit_0;

MyContext.ContextFlags = CONTEXT_SEGMENTS;
GetThreadContext(hThread, &MyContext);

/* 为了读取 fs:[18h] 的值，需要转换选择子 fs 为线性地址 */
GetThreadSelectorEntry(hThread, MyContext.SegFs, &SelEntry);

dwSegAddr = ( SelEntry.HighWord.Bits.BaseHi << 24) |
            (SelEntry.HighWord.Bits.BaseMid << 16) |
            SelEntry.BaseLow;

//  msg(">>> fs = 0x%X, FS = 0x%X\n", MyContext.SegFs, dwSegAddr);

CloseHandle(hThread);

hProcess = OpenProcess(PROCESS_VM_READ, 0, pid);
if (hProcess == NULL)
      goto exit_0;

/* 读取 fs:[18h] 处的值得到 TEB 结构的地址 */
dwSegAddr += 0x18;
if (ReadProcessMemory(hProcess, (LPCVOID)dwSegAddr, &dwSegAddr, 4, &dwReturn))
{
      /* 读取 [TEB].LastErrorValue 的值得到 LastError */
      dwSegAddr += 0x34;
      if (ReadProcessMemory(hProcess, (LPCVOID)dwSegAddr, &code, 4, &dwReturn))
      {
         if (code != precode)
         {
            msg(">>> GetLastError() = %X (%s)\n", code, winerr(code));
            precode = code;
         }
      }
}

CloseHandle(hProcess);

goto exit_1;

exit_0:
msg(">>> failed! (%s)\n", winerr(GetLastError()));
exit_1:
__asm popad
__asm jmp [lpAddr]
}

int IDAP_init(void)
{
if ( ph.id != PLFM_386 || inf.filetype != f_PE )
      return PLUGIN_SKIP;

msg(">>> %s\n", IDAP_comment);

return PLUGIN_KEEP;
}

void IDAP_term(void)
{
/* 还原被修改的跳转表中的地址 */
if (lpTableAddr && lpAddr)
      *lpTableAddr = lpAddr;

return;
}

void IDAP_run(int arg)
{
/* 找到调试模块中处理 EXCEPTION_DEBUG_EVENT 信息的地方，把地址替换成我的函数 */
lpTableAddr = (int *)GetModuleHandle("win32_user.plw");
if (lpTableAddr == NULL)
{
      msg(">>> no found debug module win32_user.plw\n");
      return;
}

lpTableAddr = (int *)((char *)lpTableAddr + 0xB860); // ida480

if (*lpTableAddr != (int)LastError)
{
      lpAddr = *lpTableAddr;
      *lpTableAddr = (int)LastError;
}

msg(">>> Patch: Old = %p, New = %p\n", lpAddr, LastError);

return;
}

plugin_t PLUGIN =
{
IDP_INTERFACE_VERSION,
0,
IDAP_init,
IDAP_term,
IDAP_run,
IDAP_comment,
IDAP_help,
IDAP_name,
IDAP_hotkey
};

因为用到了硬编码，该插件应该是只能在 ida480 上面使用，如果是用别的版本的请自己修改代码。

参考资料：

[1] Ida Plug-In Writing In C/C++，Steve Micallef
405K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0A6L8X3q4J5P5i4m8G2L8$3I4Q4x3X3g2U0L8$3#2Q4x3V1k6A6k6r3q4H3L8s2g2Y4K9h3&6%4M7X3W2@1K9h3&6Y4i4K6u0r3

附件:lasterror.rar

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・6

免费・7

支持

最新回复 (14)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼强贴必留名, 我顶 2005-10-17 09:25 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 3 楼牛人，终于用C出手啦！ 2005-10-17 10:52 0
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 462 粉丝 4 关注私信	doskey 4 4 楼最近经常看见老兄的文章呀。到处都有…… 2005-10-17 11:39 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼强贴留名 2005-10-17 13:02 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 6 楼强贴留名. 2005-10-17 13:30 0
Phoenix 雪币： 133 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 7 楼强帖必顶 2005-10-17 13:58 0
dingshan 雪币： 200 活跃值： (98) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 8 楼留名先 2005-10-17 17:23 0
xingbar168 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	xingbar168 9 楼这个是干什么的 ,说明白点 2005-10-20 19:30 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 10 楼 ea_t TEB; regval_t val; get_reg_val("FS",&val); dbg->thread_get_sreg_base(dbget.tid,val.ival,&TEB); fs:0可以这么读取 2005-11-11 13:32 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼留名! 高人阿 2005-11-11 21:57 0
一块三毛钱雪币： 277 活跃值： (321) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 38 粉丝 2 关注私信	一块三毛钱 11 12 楼最初由 DarkNess0ut 发布 ea_t TEB; regval_t val; get_reg_val("FS",&val); dbg->thread_get_sreg_base(dbget.tid,val.ival,&TEB); ........ 本来也是想这样编码，但是 get_reg_val 老是失败，不知道什么原因。 2005-11-14 16:25 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 13 楼 VC有提示 static void __declspec(naked) 这样的函数里不能用get_reg_val() 所以要用的话还是先获得FS值再进入lasterror获取fs:0 2005-11-14 16:39 0
云风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	云风 14 楼需要好好研究一下。 2005-11-14 19:57 0
bzhkl 雪币： 437 活跃值： (323) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 15 楼本来是想通过函数 get_reg_val 读取 fs 寄存器的值，结果不管读取哪个寄存器的值该函数老是失败，不知道为什么。有没有哪位大侠知道？ // The debugger structure defines a set of hardware registers in dbg->registers. // IDA also recognizes register names for each defined bit in bit registers. // You can use all these names to set or get a register value. // // For example, with the x86 Userland Win32 debugger you can use // register names like: // - "EAX", ... "EBP", "ESP", "EFL": for classical integer registers // - "CS", "DS", ... : for segment registers // - "ST0", "ST1", ... : for FPU registers // - "CF", "PF", "AF", "ZF", ... : for special bit values // Read a register value from the current thread. // Type: Synchronous function // Notification: none (synchronous function) Read a register value from the current thread. 应该是你调用的时候，IDA不知道你要访问哪个线程的寄存器，因为你的程序是异步的，所以get_reg_val一般在注册回调函数中调用。如果想调用get_reg_val，可以使用同步调试模式。 2011-2-25 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

一块三毛钱

发帖

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼强贴必留名, 我顶 2005-10-17 09:25 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 3 楼牛人，终于用C出手啦！ 2005-10-17 10:52 0
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 462 粉丝 4 关注私信	doskey 4 4 楼最近经常看见老兄的文章呀。到处都有…… 2005-10-17 11:39 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼强贴留名 2005-10-17 13:02 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 6 楼强贴留名. 2005-10-17 13:30 0
Phoenix 雪币： 133 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 7 楼强帖必顶 2005-10-17 13:58 0
dingshan 雪币： 200 活跃值： (98) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 189 粉丝 0 关注私信	dingshan 8 楼留名先 2005-10-17 17:23 0
xingbar168 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	xingbar168 9 楼这个是干什么的 ,说明白点 2005-10-20 19:30 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 10 楼 ea_t TEB; regval_t val; get_reg_val("FS",&val); dbg->thread_get_sreg_base(dbget.tid,val.ival,&TEB); fs:0可以这么读取 2005-11-11 13:32 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼留名! 高人阿 2005-11-11 21:57 0
一块三毛钱雪币： 277 活跃值： (321) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 38 粉丝 2 关注私信	一块三毛钱 11 12 楼最初由 DarkNess0ut 发布 ea_t TEB; regval_t val; get_reg_val("FS",&val); dbg->thread_get_sreg_base(dbget.tid,val.ival,&TEB); ........ 本来也是想这样编码，但是 get_reg_val 老是失败，不知道什么原因。 2005-11-14 16:25 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 13 楼 VC有提示 static void __declspec(naked) 这样的函数里不能用get_reg_val() 所以要用的话还是先获得FS值再进入lasterror获取fs:0 2005-11-14 16:39 0
云风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	云风 14 楼需要好好研究一下。 2005-11-14 19:57 0
bzhkl 雪币： 437 活跃值： (323) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 15 楼本来是想通过函数 get_reg_val 读取 fs 寄存器的值，结果不管读取哪个寄存器的值该函数老是失败，不知道为什么。有没有哪位大侠知道？ // The debugger structure defines a set of hardware registers in dbg->registers. // IDA also recognizes register names for each defined bit in bit registers. // You can use all these names to set or get a register value. // // For example, with the x86 Userland Win32 debugger you can use // register names like: // - "EAX", ... "EBP", "ESP", "EFL": for classical integer registers // - "CS", "DS", ... : for segment registers // - "ST0", "ST1", ... : for FPU registers // - "CF", "PF", "AF", "ZF", ... : for special bit values // Read a register value from the current thread. // Type: Synchronous function // Notification: none (synchronous function) Read a register value from the current thread. 应该是你调用的时候，IDA不知道你要访问哪个线程的寄存器，因为你的程序是异步的，所以get_reg_val一般在注册回调函数中调用。如果想调用get_reg_val，可以使用同步调试模式。 2011-2-25 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复