2023年12月2日发(作者:)

我用了vc 里的Dependcy Walker打开Dll,只能看到Dll文件里的函数名,看不到

各函数的参数具体设置情况。

请教各位前辈,破解Dll文件的具体思路是怎样的,我现在是一头雾水,摸不到头

绪,不知道怎样下手做。

你用Delphi|Project|Import Type Library试着导入并解析你的DLL,如果可以导入,则你可以看到函数的接口信息,否则,你只能用调试器跟踪每一个函数的执行,并查看CPU寄存器才能知道每个函数的参数和调用规则。

需要的功力可非一般,

那也要有调用此dll的执行文件才行,找wdasm去跟踪不错的

微软很多未公开的Dll函数和调用也是不断地被发现,以一人之力解析一个Dll文件的话,相信不易做到,除非这个文件很小,你可以用W32DASM等反编译软件来反汇编看看。

CSDN - 技术频道 - 文档中心 - Visual C++

标题 怎样获取未知DLL的接口参数 jyu1221(原作)

关键字 APIHOOK,DLL,接口,接口,函数,参数

首先需要知道该函数有几个参数,然后再细化参数类型。详细分析过程如下:

可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。

现在使用W32DSM来具体说明:

1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。

2。看准该函数的入口,一般函数是以以下代码作为入口点的。

push ebp

mov ebp, esp

...

3。然后往下找到该函数的出口,一般函数出口有以下语句。

...

ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果

就是参数的个数。

其中参数存放的地方:

ebp+08 //第一个参数

ebp+0C //第二个参数

ebp+10 //第三个参数

ebp+14 //第四个参数

ebp+18 //第五个参数 ebp+1C //第六个参数

。。。。

-------------------------------------------

还有一种经常看到的调用方式:

sub esp,xxxx //开头部分

//函数的内容

。。。

//函数的内容

add esp,xxxx

ret //结尾部分

其中xxxx/4的结果也是参数的个数。

-------------------------------------------------

还有一种调用方式:

有于该函数比较简单,没有参数的压栈过程,

里面的

esp+04就是第一个参数

esp+08就是第二个参数

。。。

esp+xx就是第xx/4个参数

你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。

----------------------------------------------

到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。

最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令

来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,

如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。

如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。

另外由于编译器的优化原因,可能有的参数没有我前面说的那么简单。如果在该DLL的某个函数中,有关于API调用的话,

并且调用API的参数整好有一个或多个是该DLL函数的参数的话。那么就可以很容易的知道该DLL函数的参数了。

举例说明:以下汇编代码通过W32DSM得到。

Exported fn(): myTestFunction - Ord:0001h

:10001010 8B442410 mov eax, dword ptr [esp+10]

:10001014 56 push esi

:10001015 8B74240C mov esi, dword ptr [esp+0C]

:10001019 0FAF742410 imul esi, dword ptr [esp+10] :1000101E 85C0 test eax, eax

:10001020 7414 je 10001036

:10001022 8B442418 mov eax, dword ptr [esp+18]

:10001026 8B4C2408 mov ecx, dword ptr [esp+08]

:1000102A 6A63 push 00000000

:1000102C 50 push eax

:1000102D 51 push ecx

:1000102E 6A00 push 00000000

* Reference To: eBoxA, Ord:01BEh

|

:10001030 FF15B0400010 Call dword ptr [100040B0]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:10001020(C)

|

:10001036 8BC6 mov eax, esi

:10001038 5E pop esi

:10001039 C3 ret

-------------------------------------------------------

其中myTestFunction是需要分析的函数,它的里面调用了eBoxA

这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口

的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4 =4

PUSH之后的语句ESP+ XX,

其中(XX-4)/4才对应于第几个参数。

ESP+0C ==第2个参数

ESP+10 ==第3个参数

ESP+18 ==第5个参数

ESP+08 ==第1个参数

----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,

PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,

由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器

是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,

long myTestFunction(long p1,long p2,long p3,long p4,long p5);

但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数

多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的

参数呢?请看下面分析:

你有没有看到* Reference To: eBoxA, Ord:01BEh这一条语句,

这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:

int MessageBox(

HWND hWnd, // handle of owner window LPCTSTR lpText, // address of text in message box

LPCTSTR lpCaption, // address of title of message box

UINT uType // style of message box

);

它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程

翻译为伪ASM就是:

PUSH uType

PUSH lpCaption

PUSH lpText

PUSH hWnd

CALL MessageBox

---------------------------------------

我们把这个于上面的语句对应一下,就可以清楚的知道

hWnd = NULL(0)

lpText = ecx

lpCaption = eax

uType = MB_OK(0)

---------------------------------

在往上面看,

原来 EAX 中的值是ESP+18中的内容得到了

ECX 中的值是ESP+08中的内容得到了

那么到现在为止就可以知道

lpText = ECX = [ESP+08] ==第1个参数

lpCaption = EAX = [ESP+18] ==第5个参数

现在我们可以把该DLL函数接口进一步写成:

long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

至于第3个参数ESP+10,然后找到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。

因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C

肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,

mov eax, dword ptr [esp+10]

test eax, eax

je 10001036

看到这个参数的用法了吗?

把它翻译位C语言就是:

if(p3)

{

//做je 10001036下面的那些指令

} return ;

到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。

好了,到现在位置可以把正确的接口给列出来了:

long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);

//---------------以上内容从/expert/topic/636/整理而来--------------------

下面使用APIHOOK2.0来分析该参数,相当方便。为了你能更好的理解下面的程序,现举一个MessageBox的例子,

假设本人不知道该函数的参数个数,及参数类型。

首相获取APIHOOK2.0(网上有的,自己找一下就可以了),解开口,把系统对应的,

放入系统目录中,或者在PATH中能找到的地方。把,ApiHooks.h放入你的工程中,需要自己建立一个,如:MyApiHook,

类型WIN32 Dynamic-Link Library,(空的),然后添加,该文件中的内容如下:

//--------------------------------文件开始-----------------------------------------

// : Defines the entry point for the DLL application.

//功能:把注入到的进程中,替换中所调用的DLL中API

//具体使用如下:

//c:>apihooks -nq

//apihooks = 和

// -nq 新打开一个程序(),q不弹出信息

// = By This File Create

// = 需要替换的程序

#include

#define WIN32_LEAN_AND_MEAN

#include

#include "ApiHooks.h"

int (WINAPI *pFunction)(long p1,long p2,long p3, long p4);

typedef int (WINAPI Function)(long p1,long p2,long p3, long p4);

int WINAPI MyMessageBoxA(long p1,long p2,long p3, long p4)

{

const nCountParam = 4;

long pp[nCountParam];

pp[0] = p1,pp[1] = p2,pp[2] = p3,pp[3] = p4;

FILE *fp = fopen("c:","w");

char szBuf[1024];

sprintf(szBuf, "参数内容的列表,很容易判断是否是字符串,或者为NULLn");

fputs(szBuf, fp);

for(long i = 0; i < nCountParam; i++)

{

sprintf(szBuf,"[p*d] = 0x00000000(0)n",i);

_try {

if(pp)

sprintf(szBuf,"[p*d] = 0x*08x(*d) t"*s"n",i,pp,pp,pp);

}_except(1,1)

{

sprintf(szBuf,"[p*d] = 0x*08x(*d)n",i,pp,pp);

}

fputs(szBuf,fp);

}

fclose(fp);

return(pFunction(p1, p2, p3,p4));

}

extern "C"__declspec(dllexport) API_HOOK ApiHookChain[2] = {

{"","MessageBoxA",HOOK_EXACT, NULL, NULL, MyMessageBoxA},

{HOOKS_END}

};

BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)

{

HMODULE hDLL = LoadLibrary("");

if(hDLL)

{

pFunction = (Function *)GetProcAddress(hDLL,"MessageBoxA");

FreeLibrary(hDLL);

} return TRUE;

}

//--------------------------------文件结束-----------------------------------------

上面的这个例子分析了大家都熟悉的MessageBox,假设你不知道该函数的参数,通过上面讲的方法,可以很容易的知道该

函数共有4个参数,有返回数。

于是我们可以把该函数定义为:

int WINAPI MessageBox(long p1,long p2,long p3, long p4);

然后自己定义一个MyMessageBoxA的函数(此函数可以很方便的判断该参数是否为字符串)

int WINAPI MyMessageBoxA(long p1,long p2,long p3, long p4)

通过该函数可以生成的该函数的调用的实际内容,

//------------以下为笔者机器上所得到的信息-----------

参数内容的列表,很容易判断是否是字符串,或者为NULL

[p0] = 0x00000000(0)

[p1] = 0x00416698(4286104) "测试对话框"

[p2] = 0x004166a0(4286112) "信息"

[p3] = 0x00000040(64)

//-------------------------------

根据以上信息,可以很容易的知道第2,3个参数为字符串。然后根据里面的内容可以很容易的知道该参数的实际用途。

因为某需求,需要破解某DLL文件,商业报价3000多,但我自己用的,怎么会付钱呢^^b 对此文件用来表示

该DLL组件有使用时间限制,有检查文件是否被修改的限制.

以前破解过一些软件和数据库,这次是第一次正式的认真的破解一个商业版软件,抱着必胜DI信心出发..........发现过程居然很简单......或许熟悉软件的话还能简单 @_@

首先对文件进行探壳,用PEiD软件,发现是用UPX 0.89.6 - 1.02 / 1.05 - 1.22 DLL ->

Markus & Lazlo加壳的。然后尝试用脱壳软件,试了好几个,结果用UPX-iT成功脱壳.(这个壳是UPX的变形,很难脱,要碰运气,几次失败,一次成功~:P).

这个DLL文件调用时如果系统时间比截止时间后面,会调用MESSAGEBOX弹出"试用期到"的对话框.

它对DLL是否被修改的判断方式是读取同文件夹下的文件中的信息,和DLL本身CRC(?)比对之后看看是否有所改变.作者说是防止病毒,但我感觉它是为了防止如果被修改之后会弹出"DLL文件被修改"的错误提示.

用的解密跟踪软件是OllyDbg(OllyDbg 1.09C中文版),记得我2年前用的时候不太会用,但怎么2年后用起来却觉得很顺手@_@

在OllyDbg中我需要找运行到哪一步会弹出窗口,但OllyDbg只支持ASCII文本的查找,于是我用ULTRAEDIT打开脱壳后的文件,找到前面所述的文字(脱壳后在DLL文件中汉字未加密,嘿嘿),将相关中文字统一在16进制模式的右边栏修改为ACSII码.

在OllyDbg中打开调用这个DLL文件的程序,它会将相关调用DLL库文件读入内存后,按ALT+E(执行模块),可以看到读入哪些DLL文件,然后选中我们的文件,按右键选择"跟随入口",就到CPU模式下这个文件所在内容窗口.SO多的代码,怎么找呢?在窗体中按右键选择"搜索"->"字符参考",进可以看到这个DLL里所有能识别的ACSII字符列表哩,很容易就可以看到先前修改的字符串.选中字符串后按右键选择"反汇编中跟随".就可以到那一段了.

读一下

10002404 898D E4FCFFFF MOV DWORD PTR SS:[EBP-31C],ECX

1000240A 8B95 D6FCFFFF MOV EDX,DWORD PTR SS:[EBP-32A]

10002410 81E2 FFFF0000 AND EDX,0FFFF

10002416 8995 C8FCFFFF MOV DWORD PTR SS:[EBP-338],EDX

1000241C 81BD E4FCFFFF D5>CMP DWORD PTR SS:[EBP-31C],7D5

10002426 75 20 JNZ SHORT SGIP.10002441

10002428 83BD C8FCFFFF 09 CMP DWORD PTR SS:[EBP-338],9

1000242F EB 24 JMP SHORT SGIP.10002455

10002431 C685 A4F5FFFF 00 MOV BYTE PTR SS:[EBP-A5C],0

10002438 75 1B JNZ SHORT SGIP.10002441

1000243A C685 A4F5FFFF 01 MOV BYTE PTR SS:[EBP-A5C],1

10002441 6A 00 PUSH 0

10002443 68 7CC00010 PUSH SGIP.1000C07C

10002448 68 84C00010 PUSH SGIP.1000C084 ; ASCII "chocobo

chocob chocobo chocob chocob chocobo chocob chocobo chocobo chocobo cho"

1000244D 6A 00 PUSH 0

1000244F FF15 44910010 CALL DWORD PTR DS:[<&eBoxA>>;

eBoxA

10002455 B0 01 MOV AL,1

10002457 8BE5 MOV ESP,EBP

10002459 5D POP EBP

1000245A C3 RETN

看到10002426和10002438两段是跳转到弹出注册失败的"函数"区域内.将其改成其他语句,比如JMP SHORT SGIP.10002455,即可.运行之后PASS.同理修改判断文件是否被修改的部分.JMP的操作码为EB

最后一步,就是修改DLL文件了,用ULTRAEDIT打开,查找81 BD E4 FC FF FF ,定好位之后,将原来的75 20 改成EB 20即可,存盘,运行EXE文件调用,PASS,这时已无时间限制,并且不会判断DLL文件是否被修改过哩.