• 逆向 stdio.h 函数库 fwrite 函数(调试版本)


    0x01 fwrite 函数

    • 函数原型: size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream)
    • 函数功能:把 ptr 所指向的数组中的数据写入到给定流 stream
    • 动态链接库:ucrtbased.dll
    • CC++ 实现:
    #define _CRT_SECURE_NO_WARNINGS // 用于排除安全限制
    #include <stdio.h>
    #include <string.h>
    
    int main()
    {
    	FILE* fp;
    	char c[] = "This is runoob";
    	char buffer[20];
    
    	/* 打开文件用于读写 */
    	fp = fopen("D:\1.txt", "w+");
    
    	/* 写入数据到文件 */
    	fwrite(c, strlen(c) + 1, 1, fp);
    
    	/* 查找文件的开头 */
    	fseek(fp, 0, SEEK_SET);
    
    	/* 读取并显示数据 */
    	fread(buffer, strlen(c) + 1, 1, fp);
    	printf("%s
    ", buffer);
    	fclose(fp);
    
    	return(0);
    }
    
    • 上述程序主要的功能就是打开路径为 D:1.txt 文件,之后将字符串 This is runoob 写入文件后,再读取。运行结果如下图所示:
      在这里插入图片描述
    • 调试工具:x32dbg
    • 逆向分析:要分析 fwrite 函数首先需要定位函数的位置,由于这个程序比较简单,所以直接定位 main 函数即可。如下图所示通过直接定位字符串 This is runoob 就可以找出 main 函数的位置
      在这里插入图片描述
    • main 函数中看出有几个重要的 API 函数,例如:fopen、strlen、fwrite、fread 这几个函数
      在这里插入图片描述
      在这里插入图片描述
    • 而本次分析的是 fwrite 函数,因此直接定位到该函数,传入的参数如下图注释所示。需要注意的是字符串的长度是通过上面的 strlen 函数获取的,而文件的句柄是通过 fopen 函数获得的
      在这里插入图片描述
    • 进入 fwrite 函数进行分析。首先会对传入的参数进行过滤(这也是一些 API 函数的通用流程),判断传入的字符串、文件句柄、元素的个数是否为 0,也就是是否存在的意思。如果有一个条件不符合就会调用 ucrtbased._CrtDbgReportW 函数做错误处理或直接清空 eax 返回
      在这里插入图片描述
    • 继续向下调试,发现会调用 ucrtbased.sub_F538CD0 函数,这个函数的功能比较简单,就是将传入 fwrite 的参数赋值到 [ebp-18] 这个局部变量当中,为了方便起见将这个局部变量取名为 fileinfo,而且根据赋值的特征,这个 fileinfo 很有可能是一个结构体
      在这里插入图片描述
    • 紧接着调用 ucrtbased.sub_F53DF10 函数,压入的第一个参数为文件的句柄(fopen 函数的返回值,类型为 FILE),第二个参数为 fileinfo 结构体
      在这里插入图片描述
    • 进入 ucrtbased.sub_F53DF10 函数,可以看出这个函数调用了三个子函数。第一个函数 ucrtbased.sub_F51F4C0 的功能是将传入的参数一(文件句柄)放入局部变量 [ebp-8] 中,第二个参数 ucrtbased.sub_F51F4C0 的功能是将文件句柄赋值到局部变量 [ebp-c] 当中去。之后压入 [ebp-8] 后调用 ucrtbased.sub_F53DE80 函数,需要注意的是,这里还有一个局部变量 [ebp-1],通过 ecx 传入的
      在这里插入图片描述
    • 进入 ucrtbased.sub_F53DE80 函数,发现这个函数会调用 4 个子函数,第一个函数 ucrtbased.sub_F538D10 的功能是调用 _lock_file API 函数来锁住文件,为的是为接下来写入文件做铺垫,而传入 ucrtbased.sub_F53DE80 函数的参数是通过 [ebp+8] 来获取的,也就是文件句柄
      在这里插入图片描述
      在这里插入图片描述
    • 既然通过了 _lock_file 来锁住文件那么之后肯定需要解锁文件,解锁文件的系统 API 函数是 _unlock_file,由该函数中的 ucrtbased.sub_F538D30 函数调用
      在这里插入图片描述
      在这里插入图片描述
    • ucrtbased.sub_F53DF50 函数才是实现 fwrite 功能的核心函数,传入此函数的参数如下图中的注释所示
      在这里插入图片描述
    • ucrtbased.sub_F53DF50 函数中调用了 3 个子函数
      在这里插入图片描述
    • 第一个函数 ucrtbased.sub_F53AF70 ,主要功能是判断文件描述符是否于指定设备想关联
      在这里插入图片描述
    • 主要用到了 _fileno_isatty 两个 API 来判断,如果未关联就返回 _isatty 的返回值,如果没有就做一些处理,由于处理涉及调式和未调试的区别,比较复杂,所以不多述
      在这里插入图片描述
    • 进行完设备关联判断之后,调用 _fwrite_nolock 这个 API 函数将传入的字符串写入规定的文件流,传入的参数如图所示,返回值储存在 [ebp-8]
      在这里插入图片描述
    • 最后看一下 ucrtbased.sub_F53AFA0 函数
      在这里插入图片描述
    • 在这个函数内部首先会判断传入的第一个参数是否为 0,根据实际的运行流程在 test ecx,ecx 命令判断之后直接实现了跳转,函数直接返回了。为了详细的了解程序,还是看了一下这几个函数都调用了哪些 API 函数,经过查找后发现在 ucrtbased.sub_F539070 函数中调用了 _fileno_write,这个和上面处理的流程还是蛮类似的
      在这里插入图片描述
    • 最后函数返回,返回值就是 _fwrite_nolock 函数的返回值
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述
    • 最后完成对 fwrite 函数的调用
      在这里插入图片描述
    • 函数运行流程:开始->参数过滤->_lock_file->_file_no->_isatty->_fwrite_nolock->unlock_file->结束

    逆向 stdio.h 库的 fwrite 函数到此结束,如有错误,欢迎指正

  • 相关阅读:
    【Python爬虫】第五课(b站弹幕)
    【Python爬虫】第四课(查询照片拍摄地址)
    一些tips
    【Python爬虫】第三课(提取数据)
    【Python爬虫】第二课(请求头设置)
    【Python爬虫】第一课
    【数据分析】如何进行数据分析
    【数据分析】派单排序策略优化验证(附sql查询代码)
    python基础01
    消息
  • 原文地址:https://www.cnblogs.com/csnd/p/11800501.html
Copyright © 2020-2023  润新知