Gmxpsoft.com - 开发应用

郁闷的数据包接收问题

gmxp@gmxpsoft.com(Gmxp) — Fri,09 Jan 2009 01:29:00 +0800

昨天写好框架的NDIS协议驱动，不管我怎么处理，就是死活收不到下层网卡的数据包。
这个东东折磨了我整整一天，让人郁闷的是这个问题本来不应该是问题的。下面贴出相关DDK的文档，标记一下，更希望遇到和我同样的朋友早点解脱。囧。

引用内容

Restrictions on Indicating Receive Packets
A connectionless miniport driver must not indicate a receive packet to a protocol driver while the miniport driver’s packet filter for that protocol driver is set to zero. When a miniport driver’s MiniportInitialize function is called, the miniport driver’s packet filter should be set to zero. When the packet filter is zero, receive indications are disabled. After a miniport driver’s MiniportInitialize function has returned, a protocol driver can set OID_GEN_CURRENT_PACKET_FILTER to a nonzero value, thereby enabling the miniport driver to indicate receive packets to that protocol.
......
A driver’s Protocol(Co)ReceivePacket or ProtocolReceive function can be called as soon as the protocol sets up a packet filter with OID_GEN_CURRENT_PACKET_FILTER for the binding. For the NULL filter, receive indications are enabled on return from a successful call to NdisOpenAdapter.

翻译成中文，大概就是在绑定完下层网卡后，必须向它发送一个OID_GEN_CURRENT_PACKET_FILTER的Request来指定要接收的数据包的类型，而不发送Request的话，默认是不接收任何数据包。自己向下层网卡正确发送完Request后，就可以收到你想要的数据包了。
让人很郁闷的是，对于协议驱动这么重要的步骤，DDK中仅仅在一个“很角落”的地方提到，而我正在看的网络驱动的那本书更是只字不提，把WinPcap的协议驱动翻了个遍也没有特别提及，网络上更加没有相关消息，似乎大家都认为只要绑定网卡成功就能收到数据了。

Dr.COM密码查看器

gmxp@gmxpsoft.com(Gmxp) — Sat,03 Jan 2009 21:41:06 +0800

今天下午看书时看到网络嗅探器的章节，突然想到很久前想就想搞的Dr.COM的账号和密码，研究了一个下午，总算有点成绩：

在Dr.COM 3.481 + Windows XP SP3下测试通过，其他的版本估计也差不多。
不过，代码不能贴，bin不能放，思路不能说，就贴张图留下自己逆向工程学习过程中的一点脚印而已。这么做是有原因的，望大家理解~

逆向工程笔记4

gmxp@gmxpsoft.com(Gmxp) — Wed,05 Nov 2008 01:24:30 +0800

        我一直都认为逆向这个东西是一个高手功力的体现，不可以投机，只可以在无数次的逆向过程中积累。
        初学IDA，今天便拿来逆向分析了一段经典代码，最近刚好要用到的NtCreateSection。差太远了，差太远了，错误很多，很多细节都被我忽略了，哎，继续努力把。
        -- 我逆向分析得出的代码 --

 程序代码

NTSTATUS 
__stdcall 
NtCreateSection[color=#0000ff](PHANDLE SectionHandle, 
       ACCESS_MASK DesiredAccess, 
       POBJECT_ATTRIBUTES ObjectAttributes, 
       PLARGE_INTEGER SectionSize, 
       ULONG Protect, 
       ULONG Attributes, 
       HANDLE FileHandle)
{
       NTSTATUS status = 0;
       PFILE_OBJECT FileObject;
       int var_1C;
       int var_20;
       int var_24;
       int var_34;

       if (Attributes & 0E29FFFFFh)
              return STATUS_INVALID_PARAMETER_6;

       if (!(Attributes & 0D000000h))
              return STATUS_INVALID_PARAMETER_6;

       if (!(Attributes & 1000000h))
              return STATUS_INVALID_PARAMETER_6;

       if (Attributes & 1C400000h)
              return STATUS_INVALID_PARAMETER_6;

       if ((Attributes & 8000000h) && (Attributes & 8000000h))
              return STATUS_INVALID_PARAMETER_6;

       if (Protect < PAGE_EXECUTE_READWRITE)
              return STATUS_INVALID_PAGE_PROTECTION;

       if (UserMode == KeGetPreviousMode())
       {
              try
              {
                     MmUserProbeAddress();
                     //这里不是太懂
       }
              except (EXCEPTION_EXECUTE_HANDLER)
              {
                     return GetExceptionCode();
              }
       }

       var_1C = 0;
       while (true)
       {
              status = MmCreateSection(&var_24, DesiredAccess, ObjectAttributes, &var_34, Protect, Attributes, FileHandle, 0);
              if (status > 0)
              {
                     if (STATUS_FILE_LOCK_CONFLICT == status)
                     {
                            KeDelayExecutionThread(0, 0, MmHalfSecond);
                            continue;
                     }
                     else
                            return status;
              }
              else
                     break;
       }
       if (0 != *(&var_24 + 14h))
       {
              FileObject = *(*(&var_24 + 14h) + 24h);
              if (NULL != FileObject)
                     CcZeroEndOfLastPage(FileObject);
       }
       status = ObInsertObject(var_24, 0, DesiredAccess, 0, 0, &var_20);
       if (status > 0)
              return status;
       *SectionHandle = var_20;
       return status;
}

-- WRK 1.2 中提供的代码 –

 程序代码

NTSTATUS
NtCreateSection [color=#0000ff](
    __out PHANDLE SectionHandle,
    __in ACCESS_MASK DesiredAccess,
    __in_opt POBJECT_ATTRIBUTES ObjectAttributes,
    __in_opt PLARGE_INTEGER MaximumSize,
    __in ULONG SectionPageProtection,
    __in ULONG AllocationAttributes,
    __in_opt HANDLE FileHandle
    )
/*++
Routine Description:
    This function creates a section object and opens a handle to the object
    with the specified desired access.

Arguments:

    SectionHandle - A pointer to a variable that will
        receive the section object handle value.

    DesiredAccess - The desired types of access for the section.

    DesiredAccess Flags
         EXECUTE - Execute access to the section is desired.
         READ - Read access to the section is desired.
         WRITE - Write access to the section is desired.

    ObjectAttributes - Supplies a pointer to an object attributes structure.

    MaximumSize - Supplies the maximum size of the section in bytes.
                  This value is rounded up to the host page size and
                  specifies the size of the section (page file
                  backed section) or the maximum size to which a
                  file can be extended or mapped (file backed
                  section).

    SectionPageProtection - Supplies the protection to place on each page
                            in the section.  One of PAGE_READ, PAGE_READWRITE,
                            PAGE_EXECUTE, or PAGE_WRITECOPY and, optionally,
                            PAGE_NOCACHE or PAGE_WRITECOMBINE
                            may be specified.

    AllocationAttributes - Supplies a set of flags that describe the
                           allocation attributes of the section.

        AllocationAttributes Flags

        SEC_BASED - The section is a based section and will be
                    allocated at the same virtual address in each process
                    address space that receives the section.  This does not
                    imply that addresses are reserved for based sections.
                    Rather if the section cannot be mapped at the based address
                    an error is returned.

        SEC_RESERVE - All pages of the section are set to the reserved state.

        SEC_COMMIT - All pages of the section are set to the commit state.

        SEC_IMAGE - The file specified by the file handle is an
                    executable image file.

        SEC_FILE - The file specified by the file handle is a mapped
                   file.  If a file handle is supplied and neither
                   SEC_IMAGE or SEC_FILE is supplied, SEC_FILE is
                   assumed.

        SEC_NO_CHANGE - Once the file is mapped, the protection cannot
                        be changed nor can the view be unmapped.  The
                        view is unmapped when the process is deleted.
                        Cannot be used with SEC_IMAGE.

        SEC_LARGE_PAGES - The section will be created using large pages.
                          This physical memory is allocated immediately upon
                          section creation (instead of upon access).  If
                          contiguous physical memory for the large page(s)
                          cannot be found, then the section creation will fail
                          (rather than use small pages).
                          Since this physical memory is allocated up front and
                          is nonpaged (to ensure it remains physically
                          contiguous and in a large page), privilege is
                          required.  Since section mappers can extend the
                          section life indefinitely, section creators should
                          ensure proper access permissions are used.
                          Note subsequent mapped views must specify a large
                          page aligned start address and length (or must
                          have available virtual space so the system can find
                          one) for them to automatically receive large page(s)
                          for the view.  Callers of the map APIs do not need
                          to specify large pages - the system will automatically
                          provide the mapping in large pages (assuming
                          satisfactory alignment) or small pages if not.

    FileHandle - Supplies an optional handle of an open file object.
                 If the value of this handle is NULL, then the
                 section will be backed by a paging file.  Otherwise
                 the section is backed by the specified data file.

Return Value:
    NTSTATUS.
--*/
{
    NTSTATUS Status;
    PVOID Section;
    HANDLE Handle;
    LARGE_INTEGER LargeSize;
    LARGE_INTEGER CapturedSize;
    ULONG RetryCount;
    PCONTROL_AREA ControlArea;

    if ((AllocationAttributes & ~(SEC_COMMIT | SEC_RESERVE | SEC_BASED |
            SEC_LARGE_PAGES | SEC_IMAGE | SEC_NOCACHE |
            SEC_NO_CHANGE)) != 0) {
        return STATUS_INVALID_PARAMETER_6;
    }

    if ((AllocationAttributes & (SEC_COMMIT | SEC_RESERVE | SEC_IMAGE)) == 0) {
        return STATUS_INVALID_PARAMETER_6;
    }

    if ((AllocationAttributes & SEC_IMAGE) &&
            (AllocationAttributes & (SEC_COMMIT | SEC_RESERVE |
                            SEC_LARGE_PAGES |
                            SEC_NOCACHE | SEC_NO_CHANGE))) {
        return STATUS_INVALID_PARAMETER_6;
    }

    if ((AllocationAttributes & SEC_COMMIT) &&
            (AllocationAttributes & SEC_RESERVE)) {
        return STATUS_INVALID_PARAMETER_6;
    }

    //
    // Check the SectionProtection Flag.
    //

    if ((SectionPageProtection & PAGE_NOCACHE) ||
        (SectionPageProtection & PAGE_WRITECOMBINE) ||
        (SectionPageProtection & PAGE_GUARD) ||
        (SectionPageProtection & PAGE_NOACCESS)) {

        //
        // No cache is only specified through the SEC_NOCACHE
        // option in the allocation attributes.
        //

        return STATUS_INVALID_PAGE_PROTECTION;
    }

    if (KeGetPreviousMode() != KernelMode) {
        try {
            ProbeForWriteHandle(SectionHandle);
            if (ARGUMENT_PRESENT (MaximumSize)) {
#if !defined (_WIN64)

                //
                // Note we only probe for byte alignment because prior to 2195,
                // we never probed at all!  We don"t want to break user apps
                // that had bad alignment if they worked before.
                //

                ProbeForReadSmallStructure(MaximumSize, sizeof(LARGE_INTEGER), sizeof(UCHAR));
#else

                ProbeForReadSmallStructure(MaximumSize, sizeof(LARGE_INTEGER), PROBE_ALIGNMENT (LARGE_INTEGER));

#endif
                LargeSize = *MaximumSize;
            }
            else {
                ZERO_LARGE (LargeSize);
            }
        } except (EXCEPTION_EXECUTE_HANDLER) {
            return GetExceptionCode();
        }
    }
    else {
        if (ARGUMENT_PRESENT (MaximumSize)) {
            LargeSize = *MaximumSize;
        }
        else {
            ZERO_LARGE (LargeSize);
        }
    }
    RetryCount = 0;

retry:
    CapturedSize = LargeSize;
    ASSERT (KeGetCurrentIrql() < DISPATCH_LEVEL);
    Status = MmCreateSection (&Section,
                              DesiredAccess,
                              ObjectAttributes,
                              &CapturedSize,
                              SectionPageProtection,
                              AllocationAttributes,
                              FileHandle,
                              NULL);

    ASSERT (KeGetCurrentIrql() < DISPATCH_LEVEL);
    if (!NT_SUCCESS(Status)) {
        if ((Status == STATUS_FILE_LOCK_CONFLICT) &&
            (RetryCount < 3)) {

            //
            // The file system may have prevented this from working
            // due to log file flushing.  Delay and try again.
            //

            RetryCount += 1;
            KeDelayExecutionThread (KernelMode,
                                    FALSE,
                                    (PLARGE_INTEGER)&MmHalfSecond);
            goto retry;
        }
        return Status;
    }

    ControlArea = ((PSECTION)Section)->Segment->ControlArea;
    if ((ControlArea != NULL) && (ControlArea->FilePointer != NULL)) {
        CcZeroEndOfLastPage (ControlArea->FilePointer);
    }

    //
    // Note if the insertion fails, Ob will dereference the object for us.
    //

    Status = ObInsertObject (Section,
                             NULL,
                             DesiredAccess,
                             0,
                             (PVOID *)NULL,
                             &Handle);

    if (NT_SUCCESS(Status)) {
        try {
            *SectionHandle = Handle;
        } except (EXCEPTION_EXECUTE_HANDLER) {
            //
            // If the write attempt fails, then do not report an error.
            // When the caller attempts to access the handle value,
            // an access violation will occur.
            //
        }
    }
    return Status;
}

        最后随便总结一下，大概20天前，在南航的大学生程序设计大赛中，我们的队伍拿了二等奖，其中的种种，太久了，也没什么意义，不说也罢，照片也不贴了，自己有存档就好。但是，从那之后，算法的学习在逐步被我重视。《黑客防线》投稿的稿费下来了，这也意味着那篇文件可以自由发布了，改天有时间贴上来。
        最近一直没有闲着，从早上忙到晚上，又从晚上忙到早上。但是有没有瞎忙我就不知道了:)今天的笔记就是证明了。
        虽然离高手们的距离还很远，但是我一直努力的在追赶。

逆向工程笔记3

gmxp@gmxpsoft.com(Gmxp) — Tue,16 Sep 2008 01:47:50 +0800

几天没有更新逆向工程学习笔记了，因为有一些任务需要完成。通过前几天的分析，我越来越发现了解程序的汇编结构对改善和分析程序的效率有非常大的帮助。今天就来看看平时我很常用的强制类型转换的效率情况吧。
C++ Code:

 程序代码
int f(int i)
{
    if(i < 10)
    {
        int* p = &i;
        char a = (char)i;
        char b = *((char*)p + 1);
        char c = *((char*)p + 2);
        char d = *((char*)p + 3);
        returna * b * c * d;
    }
    returnf(i) + f(i - 1);
}

ASM(Release Version):

 程序代码

00401000  push        ebx                   //保护寄存器
00401001  mov         ebx,dword ptr [esp+8] //将i赋给ebx
00401005  cmp         ebx,0Ah               //比较i和10的大小(i - 0Ah)
00401008  jge         401025h               //大于等于跳转
0040100A  movsx       ecx,byte ptr [esp+0Ah]//ecx = *((char*)p + 2);
0040100F  movsx       edx,byte ptr [esp+0Bh]//edx = *((char*)p + 3);
00401014  movsx       eax,bh                //eax = *((char*)p + 1);
00401017  imul        eax,ecx               //eax = eax * ecx;
0040101A  imul        eax,edx               //eax = eax * dex;
0040101D  movsx       ecx,bl                //ecx = (char)i;
00401020  imul        eax,ecx               //eax = eax * ecx;
00401023  pop         ebx                   //恢复寄存器
00401024  ret                               //返回
00401025  lea         edx,[ebx-1]           //edx = ebx - i;
00401028  push        esi                   //保护寄存器
00401029  push        edx                   //传递参数
0040102A  call        401000h               //f(i - 1)
0040102F  push        ebx                   //传递参数
00401030  mov         esi,eax               //esi = eax = f(i - 1)
00401032  call        401000h               //f(i)
00401037  add         esp,8                 //维护堆栈平衡
0040103A  add         eax,esi               //eax = f(i) + f(i - 1)
0040103C  pop         esi                   //恢复寄存器
0040103D  pop         ebx                   //恢复寄存器
0040103E  ret                               //返回

分析：
        1.强制类型转换确实推迟到了代码执行时进行转换，但是复杂的像TypeA x = *(( TypeA*)y + z + t + g)的类型转换，在ASM中也只有一条格式固定汇编语句而已，而简单的像TypeBx = (TypeB)y的类型转换，也对应一条语句。可见，虽然推迟到了执行时转换，但是对性能的影响并不大；
        2.终于可以不用像以前那样疑神疑鬼的使用强制类型转换了，需要注意的是尽量使用简单的转换，少使用复杂的转换；
        3.在call之前最后一个push的变量是将要执行的函数的第一个变量，最早push的变量时将要执行的函数的最后一个变量；
        4.eax仍然是作为返回值，不知道VC2005的编译器是不是一直把eax作为返回值呢？
        5.为了效率，VC2005编译器在编译时使用个数尽量少的寄存器；

PS:每分析一次VC2005编译器生成的代码，我就不得不再一次佩服它的设计^_^

逆向工程笔记2

gmxp@gmxpsoft.com(Gmxp) — Thu,11 Sep 2008 21:35:39 +0800

        继续逆向工程的学习，今天发现Release版本的代码比Debug版本的代码难分析很多，而绝大多说软件最终发布的都是Release版本的代码，还是直接分析Release版本的代码实际。
        今天分析的内容是函数。
  C++ Code:

 程序代码
        int f(int i)
       {   
       if (i < 2)
            return 1;
        return f(i) + f(i - 1);
    }

ASM(Release Version):

 程序代码
00401000  push    esi
00401001  mov     esi, dword ptr [esp+8]    //esp+8对应的时参数i
00401005  cmp     esi, 2                    //(i < 2)?
00401008  jge     short 00401011
0040100A  mov     eax, 1                    // eax对应的是返回值，这里返回1
0040100F  pop     esi
00401010  retn
00401011  lea     eax, dword ptr [esi-2]    //eax = i–2;
00401014  push    edi
00401015  push    eax                       //传递参数
00401016  call    00401000
0040101B  add     esi, -1                   //esi = i–1;
0040101E  push    esi                       //传递参数
0040101F  mov     edi, eax                  //edi = f(i–2);
00401021  call    00401000
00401026  add     esp, 8                    //参见第4点
00401029  add     eax, edi                  //eax = f(i–1) + edi
0040102B  pop     edi
0040102C  pop     esi
0040102D  retn

附ASM(Debug Version):

 程序代码
004114B0    55              push    ebp
004114B1    8BEC            mov     ebp, esp
004114B3    81EC C0000000   sub     esp, 0C0
004114B9    53              push    ebx
004114BA    56              push    esi
004114BB    57              push    edi
004114BC    8DBD 40FFFFFF   lea     edi, dword ptr [ebp-C0]
004114C2    B9 30000000     mov     ecx, 30
004114C7    B8 CCCCCCCC     mov     eax, CCCCCCCC
004114CC    F3:AB           rep     stos dword ptr es:[edi]
004114CE    837D 08 02      cmp     dword ptr [ebp+8], 2
004114D2    7D 07           jge     short 004114DB
004114D4    B8 01000000     mov     eax, 1
004114D9    EB 22           jmp     short 004114FD
004114DB    8B45 08         mov     eax, dword ptr [ebp+8]
004114DE    83E8 01         sub     eax, 1
004114E1    50              push    eax
004114E2    E8 72FCFFFF     call    00411159
004114E7    83C4 04         add     esp, 4
004114EA    8BF0            mov     esi, eax
004114EC    8B4D 08         mov     ecx, dword ptr [ebp+8]
004114EF    83E9 02         sub     ecx, 2
004114F2    51              push    ecx
004114F3    E8 61FCFFFF     call    00411159
004114F8    83C4 04         add     esp, 4
004114FB    03C6            add     eax, esi
004114FD    5F              pop     edi
004114FE    5E              pop     esi
004114FF    5B              pop     ebx
00411500    81C4 C0000000   add     esp, 0C0
00411506    3BEC            cmp     ebp, esp
00411508    E8 97FCFFFF     call    004111A4
0041150D    8BE5            mov     esp, ebp
0041150F    5D              pop     ebp
00411510    C3              retn

分析：
        1．函数调用时，esp对应的是函数的返回地址，esp+4对应的是函数的最后参数，以此类推。本例开头时因为执行了push  esi，esp向前推移4字节，这时函数的返回地址已经不是esp，而是esp+4，最后一个参数也由esp+4变成esp+8了；
        2．push和pop指令总是成对出现，功能是将该寄存器的值暂存起来，让本函数使用这个寄存器，用完后在恢复之前暂存的值。例如函数开始的push esi，返回时必须由pop esi，否则堆栈就不平衡了；
        3．这个函数里，eax作为返回值；
        4．为什么esp要加8呢？注意00401015 push eax和0040101E push esi并没有对应的pop语句，前面提到过堆栈要平衡，返回必须弹出这8字节，00401026 add esp, 8当然还可以换成pop esi, pop eax，但是显然00401026 add esp, 8更有效率。为什么呢？pop esi会把堆栈的栈顶给esi，然后执行add esp, 4，但是后面程序中并不需要esi的内容了，直接add esp, 4免去了一次内存寻址+赋值，pop esi也是一样的；
        5．软件发布时一定要用Release版本，对比Debug版本的代码就可以知道效率差了多少倍了（据我非正式测试，通常有4到5倍的效率差别），不过Debug版本的好处时调试方便；

        PS：VC2005的编译器非常优秀，在Release版本的编译中，做到了刚刚达到程序需要的效果而有没有一条多余的指令这个苛刻的要求。

逆向工程笔记1

gmxp@gmxpsoft.com(Gmxp) — Thu,11 Sep 2008 01:57:58 +0800

继续学习逆向工程，今天中午再完成了一个很简单的CrackMe之后，我开始尝试从汇编的角度分析代码的执行以及效率，今天的内容是for语句。

C++ Code:

 程序代码
for (int i = 0; i < 10; i++)
{
    int dword = sizeof(int);
}

ASM(Debug Version):

 程序代码
0041137e c745f800000000  mov     dword ptr [ebp-8],0   //int i = 0;
00411385 eb09            jmp     00411390              //跳转到循环条件
00411387 8b45f8          mov     eax,dword ptr [ebp-8] //i++
0041138a 83c001          add     eax,1
0041138d 8945f8          mov     dword ptr [ebp-8],eax
00411390 837df80a        cmp     dword ptr [ebp-8],0Ah //(i < 10)?
00411394 7d09            jge     0041139f              //如果i >= 10则跳转
00411396 c745ec04000000  mov     dword ptr [ebp-14h],4 //循环内容
0041139d ebe8            jmp     00411387              //进行下一次循环
0041139f 33c0            xor     eax,eax               //结束

在Release版本里面，这段代码居然没有被编译！原函数是这样的：

 程序代码
void main()
{
   for (int i = 0; i < 10; i++)
   {
    int dword = sizeof(dword);
   }
}

ASM(Release Version)

 程序代码
00401000 33c0            xor     eax,eax
00401002 c3              ret 

估计是编译器任务这个循环对整体程序没有任何影响，直接返回了;
为了进一步求证，改了一下代码，以求代码对全局产生影响:

 程序代码
int main()
{
   int t = 0;
   for (int i = 0; i < 10; i++)
   {
    int dword = sizeof(dword);
    t += dword;
   }
   return t;
}

对应的ASM(Release Version)为:

 程序代码
00401000 b828000000      mov     eax,28h
00401005 c3              ret

        惊，编译器居然直接计算到t = 10 * 4 = 28h，然后直接返回。VC2005的编译器强大的恐怖...

小结：
        1.从汇编代码中可以清晰的看到for语句的3个执行部分，同时也体现了for的特性，未执行循环体的代码时，先判断，执行循环体，最后递增，再进行下一次判断，如此循环下去。虽然汇编中for的结构很不清晰；
        2.int i; for (i = 0; i < 10; i++);和for (int i = 0; i < 10; i++)两条语句在汇编中并没有区别，只是在C++编译时根据语法有所不同而已；
        3.之前一个很令我担心的性能问题解决了：我在代码中经常使用sizoef()函数并不是运行时函数，在编译时sizeof(int)运算就被自动转成了4(mov     dword ptr [ebp-14h],4)，运行时只是简单的赋一个已经计算好的值而已。以后不用担心复杂的sizeof()运算会影响程序速度了，只影响编译速度而已；
        4.即使VC2005的编译器已经非常优秀了，这样的语句的运行速度还是没有纯汇编的快，纯汇编可以这样写:

 程序代码
        mov     eax, 0
        jmp     compare
        increase:
        add     eax, 1
        compare:
        cmp     eax, 0Ah
        jge     end
        mov     dword ptr [ebp-14h],4
        jmp     increase 
end:   
        xor     eax,eax

        内存寻址改成了寄存器寻址，快了不少；
        5.在汇编代码里，for的结构没有while那么清晰，终于懂得为什么有些高手用while代替for的原因了；
        6.VC2005的编译器非常优秀。

逆向工程笔记0

gmxp@gmxpsoft.com(Gmxp) — Wed,10 Sep 2008 03:01:21 +0800

        冠锁2.11完成，可以暂时降低它的优先级了。
        记得刚刚学驱动的时候，在驱网看到某牛人逆向卡巴斯基驱动的部分代码时，对他的敬仰犹如XX长江，XX不绝。现在更进一步的了解之后，才越发深刻的认识到，牛人们逆向水平无一不是长期的训练中沉淀，累积下来的。
        没有了四，六级呵大部分课程的压力，现在终于可以静下心来学习技术了。昨天和今天（应该时前天和昨天）看了很久黑防的汇编基础课程，今天（应该时昨天）晚上花了一个多小时，终于逆向出Win下一个很简单的API，SetLastError()，接着完成了一个入门级的Crackme，我终于向逆向工程迈开了第一步。
        刚刚写日志时开到一条有趣的留言，有人说突破了冠锁2的驱动保护了，我只是想说，没有绝对安全的技术，随着时间的推移，驱动所有的漏洞都将一个个被修复，非常欢迎你一年以后再来试试突破它。冠锁2所采用的技术，已经比市面上99%的同类软件安全不知道多少倍，对于绝大多说普通用户甚至时系统管理员已经足够。

附：
        被我解决掉的CrackMe的下载地址:http://www.crackmes.de/users/lucifer/first_c_crackme/;

        逆向SetLastError()后的代码：

 程序代码
void SetLastError(DWORD dwErrCode)
{
 //这里的dwLastErr指向当前线程的最后一个错误的缓存地址
 extern DWORD *dwLastErr = edi + 34h;
 //这条语句估计时调试时用的，暂时不知道g_dwLastErrorToBreakOn这个全局变量有什么用- -
 if (0 != g_dwLastErrorToBreakOn && dwErrCode == g_dwLastErrorToBreakOn)
  DbgBreakPoint();
  
 if (dwErrCode == *dwLastErr)
  return;
 else
 {
  *dwLastErr == dwErrCode;
  return;
 }
}

AMS
0:000> uf Kernel32!SetLastError
kernel32!SetLastError:
7c809342 8bff            mov     edi,edi
7c809344 55              push    ebp
7c809345 8bec            mov     ebp,esp
7c809347 56              push    esi
7c809348 57              push    edi
7c809349 64a118000000    mov     eax,dword ptr fs:[00000018h]
7c80934f 8b7508          mov     esi,dword ptr [ebp+8]
7c809352 8bf8            mov     edi,eax
7c809354 a1c456887c      mov     eax,dword ptr [kernel32!g_dwLastErrorToBreakOn (7c8856c4)]
7c809359 85c0            test    eax,eax
7c80935b 0f85a6080300    jne     kernel32!SetLastError+0x1b (7c839c07)

kernel32!SetLastError+0x24:
7c809361 397734          cmp     dword ptr [edi+34h],esi
7c809364 0f8541040000    jne     kernel32!SetLastError+0x29 (7c8097ab)

kernel32!SetLastError+0x2c:
7c80936a 5f              pop     edi
7c80936b 5e              pop     esi
7c80936c 5d              pop     ebp
7c80936d c20400          ret     4

kernel32!SetLastError+0x29:
7c8097ab 897734          mov     dword ptr [edi+34h],esi
7c8097ae e9b7fbffff      jmp     kernel32!SetLastError+0x2c (7c80936a)

kernel32!SetLastError+0x1b:
7c839c07 3bf0            cmp     esi,eax
7c839c09 0f8552f7fcff    jne     kernel32!SetLastError+0x24 (7c809361)

kernel32!SetLastError+0x1f:
7c839c0f e86a6c0400      call    kernel32!DbgBreakPoint (7c88087e)
7c839c14 e948f7fcff      jmp     kernel32!SetLastError+0x24 (7c809361)

Detours

gmxp@gmxpsoft.com(Gmxp) — Sat,19 Jul 2008 14:55:58 +0800

        最近在研究一个项目需要使用到的API HOOK时，Google一下时发现了一个非常好用的API HOOK工具，微软的Detours。与其说是工具，倒不如说是一个开源的library。
        Detours属于Microsoft Research的一个项目，最新版本是2.1，分为Professional和Express版本，和Visual Studio一样，Professional是收费的，而Express虽然免费，但是功能大受限制。其实我认为版本1.5反而更加好用，1.5里面不仅是免费的，而且还有所有的library的源代码，方便研究Detours的内部机制；但是2.1更先进，解决了一些1.5无法实现的问题，如无法重复HOOK。
        好东西要共享，提供下载~

[点击下载Microsoft Detours 1.5](595.05KB)

        以下是利用Detours 1.5完成的一个简易API HOOK，代码仅50余行：
        (Visual Studio 2005 + Windows XP SP2 通过)

 程序代码
#include "windows.h"
#include "detours.h"

//
// Trampolines
//

DETOUR_TRAMPOLINE(int __stdcall Real_MessageBoxW(HWND hWnd, 
            LPCWSTR lpText, 
            LPCWSTR lpCaption, 
            UINT uType),
                  MessageBoxW);

//
// Detours
//

int __stdcall Mine_MessageBoxW(HWND hWnd, 
      LPCWSTR lpText, 
      LPCWSTR lpCaption, 
      UINT uType)
{
        return Real_MessageBoxW(hWnd, lpText, L"嘿嘿,Hook住啦!", uType);
}

//
// TrampolineWith
//

void TrampolineWith(void)
{
        DetourFunctionWithTrampoline((PBYTE)Real_MessageBoxW,
                                 (PBYTE)Mine_MessageBoxW);
}

//
// RemoveTrampoline
//

void RemoveTrampoline(void)
{
        DetourRemove((PBYTE)Real_MessageBoxW,(PBYTE)Mine_MessageBoxW);
}

int main()
{
        MessageBoxW(NULL, L"Just a simple test.", L"Info", MB_OK);
        TrampolineWith();
        MessageBoxW(NULL, L"Just a simple test.", L"Info", MB_OK);
        RemoveTrampoline();
        MessageBoxW(NULL, L"Just a simple test.", L"Info", MB_OK);
        return 0;
}

有趣的旅行线路问题

gmxp@gmxpsoft.com(Gmxp) — Fri,06 Jun 2008 21:43:44 +0800

        今天帮某个来自北邮的同学做了一题他们的课程设计，纯算法的，比我们的课程设计有意思多了。

        惭愧没有研究算法已经多年了，都快忘光了，今天这个题目就当重新熟悉基本算法吧，以后有时间一定要多做做这样的题目才行，据说很多公司面试时都问算法的问题的。

        由于算法生疏了，这题我用的方法比较苯，效率比较低，但是可以有效的计算出来。我用了广度搜索，递归计算最小值，单链表以及一些数据结构。现在把代码贴出来，仅供学习交流，还望高手多多指导~

[点击这里下载代码(C++代码,VC6通过)]

引用内容

旅行路线问题
有六个城市（城市0—城市5）。两个城市之间若有航班可以到达，则航班至少有一条。
要求是输入两个城市（起点和终点），输出从一个城市到达另一个城市所经历的最短时间和所经节点，该时间

要包括换乘时的等待时间。
可用以下测试数据：
０――２：９点－１１点／７点－１０点
（城市０到城市２有两趟航班，出发时间――到达时间）
０――４：２点－５点／１１点－１４点
０――５：１点－１０点
１――２：１点－５点／１７点－２２点
２――３：１３点－１８点／７点－１２点
３――５：８点－９点／１４点－１５点
４――３：３点－５点／１０点－１４点／２０点－２３点
４――５：７点－８点／９点－１０点
５――４：３点－４点／１６点－１７点

.Net不小心被溢出了

gmxp@gmxpsoft.com(Gmxp) — Thu,03 Apr 2008 00:24:09 +0800

今天在用VS05写冠锁2的加密代码时，突然遇到一个奇怪的问题，浪费了近两个小时才发现，原来C#代码在调用C++的Dll时被溢出了...如下面的代码，BUFFER_SIZE不小心多了就形成了非常经典的缓冲区溢出漏洞了，而我今天就使遇到了这样的问题，BUFFER_SIZE被我不小心改大了很多，结果，VS05，.Net CLR纷纷瘫痪...

 程序代码
unsafe
{
    fixed (byte* ptr = &key[0])
    {
        Encrypt(ptr, BUFFER_SIZE);
    }
}

引用内容

FatalExecutionEngineError was detected
Message: The runtime has encountered a fatal error. The address of the error was at 0x79f783dd, on thread 0x6d8. The error code is 0xc0000005. This error may be a bug in the CLR or in the unsafe or non-verifiable portions of user code. Common sources of this bug include user marshaling errors for COM-interop or PInvoke, which may corrupt the stack.

看来，.Net溢出也不是非常困难，可以考虑从Dll入手啊~