Windows逆向安全(一)之基础知识(四)
寻找C语言程序入口
首先明确一点,这里所指的C语言程序入口为C语言的控制台程序的入口,和WIN32等其它类型的程序入口并不相同,主要为学习如何寻找程序入口
首先我们都知道C语言的控制台程序中,我们都将代码写在了main函数里,但是这个main函数不过是我们编写代码的入口,而不是真正程序的入口,如何找寻真正的程序入口?
在main函数的头部下断点,然后观察其堆栈的调用情况,通过前面的学习,我们知道在调用子函数即CALL XXXX后,会将要返回的地址压入堆栈中,我们可以通过这个返回地址来一层一层往上找到真正的程序入口
寻找程序入口
首先写一个之前调用空函数的例子,然后设置断点,断下以后,打开Call Stack(调用堆栈)窗口,可以看到如下画面
我们可以通过这个知道函数的调用顺序为:
KERNEL32!7c817077→mainCRTStartup→main
通常情况下,在调试程序的时候,比如通过OD或者x32dbg等调试工具来调试时,我们都希望程序能够在main函数这里断下,但实际上,它断在了mainCRTStartup这里
修改入口程序
为了进一步理解程序入口,我们可以手动修改程序入口,来观察其与main函数的不同
我们随便新建一个空函数
void Test(){
}
然后工程→设置(也可以使用快捷键ALT+F7)
然后在弹出来的新窗口中选中连接(Link)选项卡
接着再将分类里的常规改成输出
最后在入口点里填上我们前面新建的空函数的函数名即可
修改完入口程序以后,我们在Test函数那下个断点,观察其堆栈调用情况
我们可以发现入口点确实被修改为了Test并且mainCRTStartup也没了
但是实际上mainCRTStartup极其重要,我们不能没有它,因为它做了很多初始化的工作,关系到我们后续代码的正常运转
关于mainCRTStartup
- mainCRTStartup 和 wmainCRTStartup 是控制台环境下多字节编码和Unicode 编码的启动函数
- 而WinMainCRTStartup 和wWinMainCRTStartup 是windows 环境下多字节编码和Unicode编码的启动函数
mainCRTStartup做了哪些事:
寻找main函数入口
理论
前面我们已经知道了mainCRTStartup也就是程序入口,那么如何通过mainCRTStartup来找到main函数入口?
根据函数的参数来进行判断
乍看之下,main函数貌似只有两个参数,但实际上main函数一共有三个参数,只不过一般第三个参数我们并没有用到,于是在使用main函数时并没有加上,完整的main函数原型如下:
int main(int argc,char *argv[],char *envp[]){}
这里的argv和envp对应mainCRTStartup里_setargv()和_setenvp()
main函数的三个参数:
我们这里无需关注这三个参数的具体细节,只用记住main函数具有三个参数的这个特征即可,然后通过这个特征我们来找main函数
实践
载入程序
我们拿OD随便拉一个简单的控制台程序来寻找其main函数
程序停在了入口处,也就是mainCRTStartup处,我们从这里出发开始寻找main函数
如果OD并没有停在mainCRTStartup这里,可以进行如下设置,然后重新加载程序即可
准备工作完成后,就开始从这里向下寻找main函数
寻找main函数
004011B0 >/$ 55 push ebp
004011B1 |. 8BEC mov ebp,esp
004011B3 |. 6A FF push -0x1
004011B5 |. 68 10F14100 push CallingC.0041F110
004011BA |. 68 A42C4000 push CallingC.00402CA4 ; SE 处理程序安装
004011BF |. 64:A1 0000000>mov eax,dword ptr fs:[0]
004011C5 |. 50 push eax
004011C6 |. 64:8925 00000>mov dword ptr fs:[0],esp
004011CD |. 83C4 F0 add esp,-0x10
004011D0 |. 53 push ebx
004011D1 |. 56 push esi
004011D2 |. 57 push edi
004011D3 |. 8965 E8 mov [local.6],esp
004011D6 |. FF15 3C414200 call dword ptr ds:[<&KERNEL32.GetVersion>; kernel32.GetVersion
004011DC |. A3 E0254200 mov dword ptr ds:[0x4225E0],eax
004011E1 |. A1 E0254200 mov eax,dword ptr ds:[0x4225E0]
004011E6 |. C1E8 08 shr eax,0x8
004011E9 |. 25 FF000000 and eax,0xFF
004011EE |. A3 EC254200 mov dword ptr ds:[0x4225EC],eax
004011F3 |. 8B0D E0254200 mov ecx,dword ptr ds:[0x4225E0]
004011F9 |. 81E1 FF000000 and ecx,0xFF
004011FF |. 890D E8254200 mov dword ptr ds:[0x4225E8],ecx
00401205 |. 8B15 E8254200 mov edx,dword ptr ds:[0x4225E8]
0040120B |. C1E2 08 shl edx,0x8
0040120E |. 0315 EC254200 add edx,dword ptr ds:[0x4225EC]
00401214 |. 8915 E4254200 mov dword ptr ds:[0x4225E4],edx ; ntdll.KiFastSystemCallRet
0040121A |. A1 E0254200 mov eax,dword ptr ds:[0x4225E0]
0040121F |. C1E8 10 shr eax,0x10
00401222 |. 25 FFFF0000 and eax,0xFFFF
00401227 |. A3 E0254200 mov dword ptr ds:[0x4225E0],eax
0040122C |. 6A 00 push 0x0
0040122E |. E8 8D180000 call CallingC.00402AC0
00401233 |. 83C4 04 add esp,0x4
00401236 |. 85C0 test eax,eax
00401238 |. 75 0A jnz short CallingC.00401244
0040123A |. 6A 1C push 0x1C
0040123C |. E8 CF000000 call CallingC.00401310
00401241 |. 83C4 04 add esp,0x4
00401244 |> C745 FC 00000>mov [local.1],0x0
0040124B |. E8 00150000 call CallingC.00402750
00401250 |. FF15 38414200 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA
00401256 |. A3 2C3F4200 mov dword ptr ds:[0x423F2C],eax
0040125B |. E8 D0120000 call CallingC.00402530
00401260 |. A3 C4254200 mov dword ptr ds:[0x4225C4],eax
00401265 |. E8 B60D0000 call CallingC.00402020
0040126A |. E8 610C0000 call CallingC.00401ED0
0040126F |. E8 7C080000 call CallingC.00401AF0
00401274 |. 8B0D FC254200 mov ecx,dword ptr ds:[0x4225FC]
0040127A |. 890D 00264200 mov dword ptr ds:[0x422600],ecx
00401280 |. 8B15 FC254200 mov edx,dword ptr ds:[0x4225FC]
00401286 |. 52 push edx ; ntdll.KiFastSystemCallRet
00401287 |. A1 F4254200 mov eax,dword ptr ds:[0x4225F4]
0040128C |. 50 push eax
0040128D |. 8B0D F0254200 mov ecx,dword ptr ds:[0x4225F0]
00401293 |. 51 push ecx
00401294 |. E8 7BFDFFFF call CallingC.00401014
00401299 |. 83C4 0C add esp,0xC
0040129C |. 8945 E4 mov [local.7],eax
0040129F |. 8B55 E4 mov edx,[local.7]
004012A2 |. 52 push edx ; ntdll.KiFastSystemCallRet
004012A3 |. E8 88080000 call CallingC.00401B30
004012A8 |. 8B45 EC mov eax,[local.5]
004012AB |. 8B08 mov ecx,dword ptr ds:[eax]
004012AD |. 8B11 mov edx,dword ptr ds:[ecx] ; ntdll.7C92DC9C
004012AF |. 8955 E0 mov [local.8],edx ; ntdll.KiFastSystemCallRet
004012B2 |. 8B45 EC mov eax,[local.5]
004012B5 |. 50 push eax
004012B6 |. 8B4D E0 mov ecx,[local.8]
004012B9 |. 51 push ecx
004012BA |. E8 010A0000 call CallingC.00401CC0
004012BF |. 83C4 08 add esp,0x8
004012C2 \. C3 retn
我们从OD的断点处一路向下寻找具有三个参数的函数,最终找到了这里
00401286 |. 52 push edx ; ntdll.KiFastSystemCallRet
00401287 |. A1 F4254200 mov eax,dword ptr ds:[0x4225F4]
0040128C |. 50 push eax
0040128D |. 8B0D F0254200 mov ecx,dword ptr ds:[0x4225F0]
00401293 |. 51 push ecx
00401294 |. E8 7BFDFFFF call CallingC.00401014
00401299 |. 83C4 0C add esp,0xC
寻找技巧:虽然说push的个数并不一定代表就是参数个数,但是通过push确实可以过滤不少
我们找到的这里这个call下面有个add esp,0xC,非常典型的一个堆栈外平衡,由此我们可以推断它采用的调用协定是cdecl,再观察其压入的参数的数据宽度为4字节(压入的是三个32位通用寄存器),所以我们可以计算出参数的个数为C/4=3个参数
所以我们可以认为这里便是main函数的入口