【文章标题】: 菜刀小试-为记事本加关闭提示框
【文章作者】: petnt
【软件名称】: NotePad.exe(XpSp2)
【使用工具】: OD\Stud_PE\UltraEdit-32
【操作平台】: XpSp2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【前 言】
声明:本文创意来源于 Liebekmt 。
看了他的发帖,我动手实践了一下,现把整个过程和大体思路整理出来,没什么技术含量,仅供菜菜们交流,大侠请飘过。
【目 的】
在记事本退出之前,给出消息框提示,点击“是”正常退出,点击“否”取消返回。
【思 路】
1.在适当的位置截取退出消息。
2.写入实现功能的补丁代码。
【详细过程】
本例的重点在于如何寻找恰当的位置,只要位置合适,代码很好写。下面给出具体分析过程:
同样借鉴 Liebekmt 的想法,我们先寻找PostQuitMessage,准备在这里下手。顺着PostQuitMessage我们很容易发现整个消息处理函数。Liebekmt曾提到了如何更快捷的找到消息处理函数,我没有什么好方法,一般都是找一个程序肯定会自定义处理的一个消息,在这个消息上下断,返回程序领空的时候,大部分情况就是断在消息处理函数里了,如果不是,也不会跑得太远。消息处理函数OD会给出提示,如本例。再者,消息处理函数中有明显的消息类型比较,直接的如 cmp esi,XXX ,间接的如 sub esi,XX 后je等等,这些也可以作为我们确定它的标志。另外
,VC asm 中消息处理很有可能会用到DefWindowProc,通过他也可以定位到消息处理函数。下面给出记事本的消息处理函数(部分)。
当我们运行并点击关闭按钮后,程序断在 Call PostQuitMessage的时候,请仔细观察被我们打开的记事本窗口。是的,我们已经发现不了记事本窗口了,他已经被Destroy掉了。所以在此处Patch是无法再返回到原来的程序了(以我的能力),我们应该再向前看一看。我们知道销毁窗口要用DestroyWindow,所以这次我们在这个函数上下断。
0100358C |> E8 A8040000 call 01003A39 ; Case 10 (WM_CLOSE) of switch 01003434
我们从我们返回出向上翻,顺藤摸瓜一直找到 0100358C 处,OD已经给出了提示,原来这是在处理一个WM_CLOSE的消息。所以我们可以初步推理:点了关闭按钮后,程序并没有马上PostQuitMessage,而是先收到并处理了一个WM_CLOSE的消息,并且在这个消息中做了一些事情后Destroy掉了窗口。我们要想在点击我们设计的“否”按钮后还能顺利地返回程序,必须在DestroyWindow之前进行我们的工作。为了保证对他的手术成功顺利,我们有必要具体分析一下上面那段代码到底做了什么。
能做什么呢?我们先来想一想。保存工作,我想应该是这样的。我们在 0100358C 处下断,重新打开程序,在程序中随便输入,不点保存,点击关闭。程序断下来后,我们F8单步跟踪,当步过 01003594 这个Call的时候,出现了保存窗口。我们继续来想一想:在保存提示中,我们点击是和否最终都要退出程序,当点击取消时程序会返回程序,不做任何操作(不正符合我们设计的“否”按钮的执行流程吗?嘿嘿)。再看紧跟在Call后的跳转,跳转到的地方如下:
010034BD |> 33C0 xor eax, eax ; Default case of switch 010034CE
呵呵,返回了。这肯定是“取消”按钮应该做的事情了。点击“是”或者“否”都会继续向下进行,这一点可以通过实践验证。下面的代码需要我们分析吗?当然需要,只是我们没必要分析他们要做什么了,因为他们做什么最终的结果都会走向灭亡,虽然如此,我们仍然能发现他的利用价值。我们发现了什么?瞧瞧,MessageBoxW(记下他在输入表中的位置),可以被我利用;主窗口的句柄放在[1009830](记下),我们也完全可以引用。至此,我们确定了Patch的地方。那就是 0100359B 处。为什么?因为在这里我们已经很明确地看出两条线路,一条走向希望,另一条要走向灭亡。这符合我们的思路。
0100359B之前进行patch,暂且不说有没有合适的地方和需不需要我们恢复原程序代码,如果我们点击了“是”,而记事本在保存工作中被点击了取消怎么办(如果自己写代码退出会丢掉保存功能)?我们已经答应了退出却又被硬生生的拉回了程序,多损面子,:)。
在这之后patch,暂且不说有没有合适的地方,在这之后执行的代码都是退出前执行的代码,程序准备退出但只进行了一部分,又被你拉了回来,寄存器值肯定有变化,部分数据也可能有变化,中途折回影不影响正常执行谁也不敢保证。
再说回来,这是一个长跳转,6个字节的指令,我们要加的jmp是5个字节指令,再加上这个跳转在什么情况下跳到什么地方我们一清二楚,这将不涉及补丁原程序指令问题。在其他地方,我们至少还需要加几条指令来恢复或模拟原代码执行。所以这里是我们的上上选。
找到了下手的位置,我们还需要考虑另一个位置的问题,就是补丁代码放在什么位置。随便找个全零的地方写可不可以,在调试的时候OD中当然可以,但你选的那个地方能不能写入文件,保证在载入文件的时候一起载入内存呢?所以,我们需要谨慎。我们来看看文件节数据。
No | Name | VSize | VOffset | RSize | ROffset | Charact. |
从上面我们可以看到载入内存后,从 00008748-00008FFF之间应该是没有用的。瞧,文件中text段我们都看不到剩余空间,实际上有没有呢?用UltraEdit-32打开记事本看看。
00007B40 33 32 2E 64 6C 6C 00 00 00 00 00 00 00 00 00 00 32.dll..........
还好,在00007C00之前还有一块空地。虽然不算太大,也应该够用了。这部分空地对应载入内存的程序地址为 01008748 — 010087FF ,所以,应该把补丁程序写在这一区段内。(此处不明白着请参考PE格式)
好了,万事俱备,只欠东风了,我们写代码吧。
别忘了将 0100359B 处跳转 改为 Jmp 01008748 ,OK,将所有更改保存到可执行文件,看看效果吧。
【总 结】
其实没什么技术含量,对于我们新手来说,重要的是多思考,多动手,这样我们才能获得更多的知识。至于 Liebekmt 提到在PostQuitMessage处patch点“是”也退出不了的问题,我想应该是没有平衡堆栈造成的(可参照原程序在PostQuitMessage之后的处理,也可查看堆栈自己手动平衡)。因为我们补丁代码的前后并没有改变堆栈,而且还是基本按照原程序的思路走的,所以没涉及到堆栈的平衡。如有分析不当之处,敬请各位大侠指出。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年01月27日 15:01:08
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
