Windows数据类型探幽

最新推荐文章于 2022-07-31 12:55:27 发布
最新推荐文章于 2022-07-31 12:55:27 发布
阅读量929 收藏
点赞数 2
分类专栏: windows c/c++ 文章标签: 数据 class c++ c语言

Windows数据类型(一)

 

  由微软Windows操作系统所支持的各种数据类型是用来定义函数的返回值、函数和消息的参数以及结构体成员(因为Win32程序是用C语言来编写,所以没有“类”这个概念)的。这些数据类型定义了上述元素的尺码(在内存中的,也就是占用内存的字节数)和含义。笔者以前一直不太注意这些东西,结果在程序设计时可谓步履维艰。不同类型的常/变量,在程序用扮演的角色相去甚远,了解这些类型,对剖析程序的工作原理是非常有用的。今天又是周末,我把这些类型列出来,然后把它们的“原形”也找出来——是不是很像“照妖镜”呀。

       下面这张表里包括这些类型:字符类型(character),整数类型(integer),逻辑值类型(布尔型,海峡那边的兄弟们喜欢叫“布林型”,Boolean),指针类型(pointer),句柄型(handle)。其中,字符类型、整数类型和逻辑值(布尔)类型是C语言编译器通用的,也就是与标准C语言一样。大多数指针类型都是以P(Pointer)或者LP(Long Pointer)前缀开头。“句柄”是指被装载进内存的一个资源(本质而言就是指一定范围内的唯一编号)。

  下面这张表是我结合MSDN里的资料制作的,因为自己也是初学,做的还比较粗糙,请大家多多指正:)

Windows数据类型本质类型字节数定义过程(来历)含义
ATOMunsigned short2unsigned short→WORD→ATOM在Atom表中,一键(16位整数)一值(一个String)为一个Atom。
BOOLint*int→BOOL逻辑变量,布尔值 (取值为 TRUE 或 FALSE)
BOOLEANunsigned char1unsigned char→BYTE→BOOLEAN逻辑变量,布尔值 (取值为 TRUE 或 FALSE)
BYTEunsigned char1unsigned char→BYTE字节型,8位。
CALLBACK__stdcall调用__stdcall→CALLBACK回调函数的调用约定
CHARchar1char→CHAR8位Windows字符(ANSI)
COLORREFunsigned long4unsigned long→DWORD→COLORREF红,绿,蓝(RGB)值
CONSTconst关键字const→CONST常量
CRITICAL_SECTIONRTL_CRITICAL_SECTION结构体?RTL_CRITICAL_SECTION(结构)→CRITICAL_SECTIONCritical-section对象
DWORDunsigned long4unsigned long→DWORD32位无符号整数
DWORD_PTRunsigned long4unsigned long→ULONG_PTR→DWORD_PTR(另有其它路径)略……(用处挺大,不过太长了)
DWORD32unsigned int*unsigned int→DWORD3232位无符号整数
DWORD64unsigned __int648unsigned __int64→DWORD6464位无符号整数
FLOATfloat4float→FLOAT浮点数变量
HACCELHACCEL__结构体指针由DECLARE_HANDLE(name)宏定义的指向HACCEL__结构体的指针快捷键列表的句柄
HANDLEvoid *(一个地址)void *→HANDLE对象的句柄
HBITMAPHBITMAP__结构体指针由DECLARE_HANDLE(name)宏定义的指向HBITMAP__结构体的指针位图的句柄
HBRUSHHBRUSH__结构体指针由DECLARE_HANDLE(name)宏定义……画刷的句柄
HCONVHCONV__结构体指针由DECLARE_HANDLE(name)宏定义……动态数据交换(DDE)会话的句柄
HCONVLISTHCONVLIST__结构体指针由DECLARE_HANDLE(name)宏定义……动态数据交换(DDE)会话列表的句柄
HCURSORHICON__结构体指针HICON__ *→HICON→HCURSOR光标的句柄
HDCHDC__结构体指针由DECLARE_HANDLE(name)宏定义……设备上下文(DC)的句柄
HDDEDATAHDDEDATA__结构体指针由DECLARE_HANDLE(name)宏定义……动态数据交换数据的句柄
HDESKHDESK__结构体指针由DECLARE_HANDLE(name)宏定义……桌面(Desktop)的句柄
HDROPHDROP__结构体指针由DECLARE_HANDLE(name)宏定义……Handle to an internal drop structure.
HDWPvoid *(一个地址)void *→HANDLE→HDWPHandle to a deferred window position structure.
HENHMETAFILEHENHMETAFILE__结构体指针由DECLARE_HANDLE(name)宏定义……增强图元文件的句柄
HFILEint*int→HFILE由OpenFile(而不是CreateFile)打开的文件的句柄.
HFONTHFONT__结构体指针由DECLARE_HANDLE(name)宏定义……字体的句柄
HGDIOBJvoid near *void NEAR *→HGDIOBJGDI对象的句柄
HGLOBALvoid *(一个地址)void *→HANDLE→HGLOBAL全局内存块的句柄
HHOOKHHOOK__结构体指针由DECLARE_HANDLE(name)宏定义……句子(hook)的句柄
HICONHICON__结构体指针由DECLARE_HANDLE(name)宏定义……图标的句柄
HIMAGELIST_IMAGELIST结构体指针_IMAGELIST *→HIMAGELIST图片列表的句柄
HIMCHIMC__结构体指针由DECLARE_HANDLE(name)宏定义……输入上下文的句柄
HINSTANCEHINSTANCE__结构体指针由DECLARE_HANDLE(name)宏定义……实例的句柄

 

续表

INTint*int→INT32位有符号整数
INT_PTRint(_W64 int即__w64 int)*_W64 int→INT_PTR,_W64就是__w64,是为了解决32位与64位编译器的兼容性而设置的关键字用于指针运算
INT32signed int*signed int→INT3232位有符号整数
INT64signed __int648signed __int64→INT6464位有符号整数
LANGIDunsigned short2unsigned short→WORD→LANGID语言标识符
LCIDunsigned long4unsigned long→DWORD→LCIDLocale identifier.
LCTYPEunsigned long4unsigned long→DWORD→LCTYPELocale information type. 
LONGlong4long→LONG32位有符号整数
LONG_PTRlong4_W64 long→LONG_PTR用于指针运算
LONG32signed int*signed int→LONG3232位有符号整数
LONG64__int648__int64→LONG6464位有符号整数
LONGLONG__int648__int64→LONGLONG64位有符号整数
LPARAMlong4_W64 long→LONG_PTR→LPARAM消息的参数
LPBOOLint *int→BOOL, BOOL far *→LPBOOLBOOL类型的指针
LPBYTEunsigned char *unsigned char→BYTE,BYTE far *→LPBYTEBYTE类型的指针
LPCOLORREFunsigned long *unsigned long→WORD,DWORD *→LPCOLORREF颜色值的指针
LPCRITICAL_SECTIONRTL_CRITICAL_SECTION结构体指针RTL_CRITICAL_SECTION *PRTL_CRITICAL_SECTION→,PRTL_CRITICAL_SECTION→LPCRITICAL_SECTIONCRITICAL_SECTION的指针
LPCSTR静态char *char→CHAR,CONST CHAR *→LPCSTR静态8位Windows字符(ANSI)无终结字符串指针
LPCTSTR静态wchar_t *wchar_t→WCHAR,CONST WCHAR *→LPCWSTR,LPCWSTR→LPCTSTR如果UNICODE已定义则为LPCWSTR,否则为LPCTSTR
LPCVOID静态void *CONST void far *→LPCVOID任何类型的静态指针
LPCWSTR静态wchar_t *wchar_t→WCHAR,CONST WCHAR *→LPCWSTR静态16位Windows字符(Unicode)无终结字符串指针
LPDWORDunsigned long *unsigned long→DWORD,DWORD far *→LPDWORDDWORD的指针
LPHANDLE指向句柄的指针void *→HANDLE,HANDLE FAR *→LPHANDLEHANDLE的指针
LPINTint *int far *→LPINTINT的指针
LPLONGlong *long far *→LPLONGLONG的指针
LPSTRchar *char→CHAR,CHAR *→LPSTR8位Windows字符(ANSI)无终结字符串指针
LPTSTRwchar_t *wchar_t WCHAR,WCHAR *→LPWSTR,LPWSTR→LPTSTRAn LPWSTR if UNICODE is defined, an LPSTR otherwise.
LPVOIDvoid *void far *→LPVOID任何类型的指针
LPWORDunsigned short *unsigned short→WORD,WORD far *→LPWORDWORD的指针
LPWSTRwchar_t *wchar_t→WCHAR,WCHAR *→LPWSTR16位Windows字符(ANSI)无终结字符串指针
LRESULTlong4_W64 long→LONG_PTR→LRESULT有符号的消息处理结果
LUIDLUID结构局部唯一标识符
PBOOLint *int→BOOL,BOOL near *→PBOOLBOOL的指针
PBOOLEANunsigned char *unsigned char→BYTE→BOOLEAN,BOOLEAN *→PBOOLEANBOOL的指针
PBYTEunsigned char *unsigned char→BYTE,BYTE near *→PBYTEBYTE的指针
PCHARchar *char→CHAR,CHAR *→PCHARCHAR的指针
PCRITICAL_SECTIONRTL_CRITICAL_SECTION结构体指针

 

续表

POINTER_32void *void *→POINTER_3232位指针(详解略)
POINTER_64void *void *→POINTER_6464位指针(详解略)
PSHORTshort *short→SHORT,SHORT *→PSHORTSHORT的指针
PSTRchar *char→CHAR,CHAR *→PSTR8位Windows字符(ANSI)无终结字符串指针
PTBYTEwchar_t *wchar_t→WCHAR,WCHAR *→PTBYTETBYTE的指针
PTCHARwchar_t *wchar_t→WCHAR,WCHAR *→PTCHARTCHAR的指针
PTSTRwchar_t *wchar_t→WCHAR,WCHAR *→LPWSTR→PTSTRPWSTR if UNICODE is defined, a PSTR otherwise.
PTBYTEwchar_t *wchar_t→WCHAR,WCHAR *→PTBYTETBYTE的指针
PTCHARwchar_t *wchar_t→WCHAR,WCHAR *→PTCHARTCHAR的指针
PTSTRwchar_t *wchar_t→WCHAR,WCHAR *→LPWSTR→PTSTRA PWSTR if UNICODE is defined, a PSTR otherwise.
PUCHARunsigned char *unsigned char→UCHAR,UCHAR *→PUCHARUCHAR的指针
PUINTunsigned int *unsigned int *→PUINT(呵呵,为什么不用UINT*来定义呢?)UINT的指针
PULONGunsigned long *unsigned long→ULONG,ULONG *→PULONGULONG的指针
PUSHORTunsigned short *unsigned short→USHORT,USHORT *→PUSHORTUSHORT的指针
PVOIDvoid *void *→PVOID任何类型的指针
PWCHARwchar_t *wchar_t→WCHAR,WCHAR *→PWCHARWCHAR的指针
PWORDunsigned short *unsigned short→WORD,WORD near *→PWORDWORD的指针
PWSTRwchar_t *wchar_t→WCHAR,WCHAR *→PWSTR16位Windows字符(Unicode)无终结字符串指针
REGSAMunsigned longunsigned long→DWORD→ACCESS_MASK→REGSAM注册表值的安全访问掩码
SC_HANDLESC_HANDLE__结构体指针由DECLARE_HANDLE(name)宏定义……Handle to a service control manager database.
SC_LOCKvoid *void far *→LPVOID→SC_LOCKHandle to a service control manager database lock. 
SERVICE_STATUS_HANDLESERVICE_STATUS_HANDLE__结构体指针由DECLARE_HANDLE(name)宏定义……Handle to a service status value. 
SHORTshort2short→SHORT短整数类型(16位)
SIZE_Tunsigned long4unsigned long→ULONG_PTR→SIZE_T指针可指向的最大字节数
SSIZE_Tlong_W64 long→LONG_PTR→SSIZE_T有符号SIZE_T.
TBYTEwchar_t2wchar_t→WCHAR,WCHAR→TBYTE如果UNICODE已定义则为WCHAR,否则为CHAR
TCHARwchar_t2wchar_t→WCHAR,WCHAR→TCHAR如果UNICODE已定义则为WCHAR,否则为CHAR
UCHARunsigned char1unsigned char→UCHAR无符号CHAR
UINTunsigned int*unsigned int→UINT无符号INT
UINT_PTRunsigned int*unsigned int→UINT_PTR无符号INT_PTR.
UINT32unsigned int2unsigned int→UINT32无符号INT32.
UINT64unsigned __int644unsigned __int64→UINT64无符号INT64.
ULONGunsigned long4unsigned long→ULONG无符号LONG.

 

最后这张表是Visual C++ 7.1编译器支持的数据类型,也就是Windows各种数据类型的“根源”了。

数据类型名称字节数别名取值范围
int*signed,signed int由操作系统决定,即与操作系统的"字长"有关
unsigned int*unsigned由操作系统决定,即与操作系统的"字长"有关
__int81char,signed char–128 到 127
__int162short,short int,signed short int–32,768 到 32,767
__int324signed,signed int–2,147,483,648 到 2,147,483,647
__int648–9,223,372,036,854,775,808 到 9,223,372,036,854,775,807
bool1false 或 true
char1signed char–128 到 127
unsigned char10 到 255
short2short int,signed short int–32,768 到 32,767
unsigned short2unsigned short int0 到 65,535
long4long int,signed long int–2,147,483,648 到 2,147,483,647
long long8none (but equivalent to __int64)–9,223,372,036,854,775,808 到 9,223,372,036,854,775,807
unsigned long4unsigned long int
小哈龙
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows用户称拦截api
04-06
Windows用户层下拦截api的原理与实现(附源码) (2008-03-29 16:15:07)转载▼ 标签: computer 杂谈 声明:本页所发布的技术文章及其附件,供自由技术传播,拒绝商业使用。本页文章及其附件的所有权归属本文作者,任何使用文档中所介绍技术者对其后果自行负责,本文作者不对其承担任何责任。 Email:redcoder163.com 目录 1 摘要 2 win2000和xp的内存结构和进程地址空间 3 函数堆栈的一些知识 4 关于拦截的整体思路 5 附件代码下载以及说明 一:摘要 拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截(内核层也可以用,关键是让你的拦截程序获得ring0特权).而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要执行的地方,然后再返回到原地址.原来api的功能必须还能实现.否则拦截就失去作用了.修改文件导入表的方法的缺点是如果用户程序动态加载(使用LoadLibrary和GetProcAddress函数),拦截将变得复杂一些.所以这里介绍一下第二种方法,直接修改api,当然不是全局的.(后面会说到)   需要了解的一些知识:   1.windows内存的结构属性和进程地址空间   2.函数堆栈的一些知识 二:win2000和xp的内存结构和进程地址空间 windows采用4GB平坦虚拟地址空间的做法。即每个进程单独拥有4GB的地址空间。每个进程只能访问自己的这4GB的虚拟空间,而对于其他进程的地址空间则是不可见的。这样保证了进程的安全性和稳定性。但是,这4GB的空间是一个虚拟空间,在使用之前,我们必须先保留一段虚拟地址,然后再为这段虚拟地址提交物理存储器。可是我们的内存大部分都还没有1GB,那么这4GB的地址空间是如何实现的呢?事实上windows采用的内存映射这种方法,即把物理磁盘当作内存来使用,比如我们打开一个可执行文件的时候,操作系统会为我们开辟这个4GB的地址空间:0x00000000--0xffffffff。其中0x00000000--0x7fffffff是属于用户层的空间.0x80000000--0xffffffff则属于共享内核方式分区,主要是操作系统的线程调度,内存管理,文件系统支持,网络支持和所有设备驱动程序。对于用户层的进程,这些地址空间是不可访问的。任何访问都将导致一个错误。开辟这4GB的虚拟地址空间之后,系统会把磁盘上的执行文件映射到进程的地址空间中去(一般是在地址0x00400000,可以通过修改编译选项来修改这个地址)而一个进程运行所需要的动态库文件则一般从0x10000000开始加载。但是如果所有的动态库都加载到这个位置肯定会引起冲突。因此必须对一些可能引起冲突的dll编译时重新修改基地址。但是对于所有的操作系统所提供的动态库windows已经定义好了映射在指定的位置。这个位置会随着版本的不同而会有所改变,不过对于同一台机器上的映射地址来说都是一样的。即在a进程里映射的kernel32.dll的地址和在进程b里的kernel32.dll的地址是一样的。对于文件映射是一种特殊的方式,使得程序不需要进行磁盘i/o就能对磁盘文件进行操作,而且支持多种保护属性。对于一个被映射的文件,主要是使用CreateFileMapping函数,利用他我们可以设定一些读写属性:PAGE_READONLY,PAGE_READWRITE,PAGE_WRITECOPY.第一参数指定只能对该映射文件进行读操作。任何写操作将导致内存访问错误。第二个参数则指明可以对映射文件进行读写。这时候,任何对文件的读写都是直接操作文件的。而对于第三个参数PAGE_WRITECOPY顾名思义就是写入时拷贝,任何向这段内存写入的操作(因为文件是映射到进程地址空间的,对这段空间的读写就相当于对文件进行的直接读写)都将被系统捕获,并重新在你的虚拟地址空间重新保留并分配一段内存,你所写入的一切东西都将在这里,而且你原先的指向映射文件的内存地址也会实际指向这段重新分配的内存,于是在进程结束后,映射文件内容并没有改变,只是在运行期间在那段私有拷贝的内存里面存在着你修改的内容。windows进程运行所需要映射的一些系统dll就是以这种方式映射的,比如常用的ntdll.dll,kernel32.dll,gdi32.dll.几乎所有的进程都会加载这三个动态库。如果你在一个进程里修改这个映射文件的内容,并不会影响到其他的进程使用他们。你所修改的只是在本进程的地址空间之内的。事实上原始文件并没有被改变。 这样,在后面的修改系统api的时候,实际就是修改这些动态库地址内的内容。前面说到这不是修改全局api就是这个原因,因为他们都是以写入时拷贝的方式来映射的。不过这已经足够了,windows提供了2个强大的内存操作函数ReadProcessMemory和WriteProcessMemory.利用这两个函数我们就可以随便对任意进程的任意用户地址空间进行读写了。但是,现在有一个问题,我们该写什么,说了半天,怎么实现跳转呢?现在来看一个简单的例子: MessageBox(NULL, "World", "Hello", 0); 我们在执行这条语句的时候,调用了系统api MessageBox,实际上在程序中我没有定义UNICODE宏,系统调用的是MessageBox的ANSI版本MessageBoxA,这个函数是由user32.dll导出的。下面是执行这条语句的汇编代码: 0040102A push 0 0040102C push offset string "Hello" (0041f024) 00401031 push offset string "World" (0041f01c) 00401036 push 0 00401038 call dword ptr [__imp__MessageBoxA@16 (0042428c)] 前面四条指令分别为参数压栈,因为MessageBoxA是__stdcall调用约定,所以参数是从右往左压栈的。最后再CALL 0x0042428c 看看0042428c这段内存的值: 0042428C 0B 05 D5 77 00 00 00 可以看到这个值0x77d5050b,正是user32.dll导出函数MessageBoxA的入口地址。 这是0x77D5050B处的内容, 77D5050B 8B FF mov edi,edi 77D5050D 55 push ebp 77D5050E 8B EC mov ebp,esp 理论上只要改变api入口和出口的任何机器码,都可以拦截该api。这里我选择最简单的修改方法,直接修改qpi入口的前十个字节来实现跳转。为什么是十字节呢?其实修改多少字节都没有关系,只要实现了函数的跳转之后,你能把他们恢复并让他继续运行才是最重要的。在CPU的指令里,有几条指令可以改变程序的流程:JMP,CALL,INT,RET,RETF,IRET等指令。这里我选择CALL指令,因为他是以函数调用的方式来实现跳转的,这样可以带一些你需要的参数。到这里,我该说说函数的堆栈了。 总结:windows进程所需要的动态库文件都是以写入时拷贝的方式映射到进程地址空间中的。这样,我们只能拦截指定的进程。修改目标进程地址空间中的指定api的入口和出口地址之间的任意数据,使之跳转到我们的拦截代码中去,然后再恢复这些字节,使之能顺利工作。 三:函数堆栈的一些知识 正如前面所看到MessageBoxA函数执行之前的汇编代码,首先将四个参数压栈,然后CALL MessageBoxA,这时候我们的线程堆栈看起来应该是这样的: | | <---ESP |返回地址| |参数1| |参数2| |参数3| |参数4| |.. | 我们再看MessageBoxA的汇编代码, 77D5050B 8B FF mov edi,edi 77D5050D 55 push ebp 77D5050E 8B EC mov ebp,esp 注意到堆栈的操作有PUSH ebp,这是保存当前的基址指针,以便一会儿恢复堆栈后返回调用线程时使用,然后再有mov ebp,esp就是把当前esp的值赋给ebp,这时候我们就可以使用 ebp+偏移 来表示堆栈中的数据,比如参数1就可以表示成[ebp+8],返回地址就可以表示成[ebp+4]..如果我们在拦截的时候要对这些参数和返回地址做任何处理,就可以使用这种方法。如果这个时候函数有局部变量的话,就通过减小ESP的值的方式来为之分配空间。接下来就是保存一些寄存器:EDI,ESI,EBX.要注意的是,函数堆栈是反方向生长的。这时候堆栈的样子: |....| |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP | |返回地址| |参数1| |参数2| |参数3| |参数4| |.. | 在函数返回的时候,由函数自身来进行堆栈的清理,这时候清理的顺序和开始入栈的顺序恰恰相反,类似的汇编代码可能是这样的: pop edi pop esi pop ebx add esp, 4 pop ebp ret 0010 先恢复那些寄存器的值,然后通过增加ESP的值的方式来释放局部变量。这里可以用mov esp, ebp来实现清空所有局部变量和其他一些空闲分配空间。接着函数会恢复EBP的值,利用指令POP EBP来恢复该寄存器的值。接着函数运行ret 0010这个指令。该指令的意思是,函数把控制权交给当前栈顶的地址的指令,同时清理堆栈的16字节的参数。如果函数有返回值的话,那在EAX寄存器中保存着当前函数的返回值。如果是__cdecl调用方式,则执行ret指令,对于堆栈参数的处理交给调用线程去做。如wsprintf函数。 这个时候堆栈又恢复了原来的样子。线程得以继续往下执行... 在拦截api的过程之中一个重要的任务就是保证堆栈的正确性。你要理清每一步堆栈中发生了什么。 四:形成思路 呵呵,不知道你现在脑海是不是有什么想法。怎么去实现拦截一个api? 这里给出一个思路,事实上拦截的方法真的很多,理清了一个,其他的也就容易了。而且上面所说的2个关键知识,也可以以另外的形式来利用。 我以拦截CreateFile这个api为例子来简单说下这个思路吧: 首先,既然我们要拦截这个api就应该知道这个函数在内存中的位置吧,至少需要知道从哪儿入口。CreateFile这个函数是由kernel32.dll这个动态库导出的。我们可以使用下面的方法来获取他映射到内存中的地址: HMODULE hkernel32 = LoadLibrary("Kernel32.dll"); PVOID dwCreateFile = GetProcAddress(hkernei32, "CreateFileA"); 这就可以得到createfile的地址了,注意这里是获取的createfile的ansic版本。对于UNICODE版本的则获取CreateFileW。这时dwCreateFile的值就是他的地址了。对于其他进程中的createfile函数也是这个地址,前面说过windows指定了他提供的所有的dll文件的加载地址。 接下来,我们该想办法实现跳转了。最简单的方法就是修改这个api入口处的代码了。但是我们该修改多少呢?修改的内容为什么呢?前面说过我们可以使用CALL的方式来实现跳转,这种方法的好处是可以为你的拦截函数提供一个或者多个参数。这里只要一个参数就足够了。带参数的函数调用的汇编代码是什么样子呢,前面也已经说了,类似与调用MessageBoxA时的代码: PUSH 参数地址 CALL 函数入口地址(这里为一个偏移地址) 执行这2条指令就能跳转到你要拦截的函数了,但是我们该修改成什么呢。首先,我们需要知道这2条指令的长度和具体的机器代码的值。其中PUSH对应0x68,而CALL指令对应的机器码为0xE8,而后面的则分别对应拦截函数的参数地址和函数的地址。注意第一个是一个直接的地址,而第二个则是一个相对地址。当然你也可以使用0xFF0x15这个CALL指令来进行直接地址的跳转。 下面就是计算这2个地址的值了, 对于参数和函数体的地址,要分情况而定,对于对本进程中api的拦截,则直接取地址就可以了。对于参数,可以先定义一个参数变量,然后取变量地址就ok了。 如果是想拦截其他进程中的api,则必须使用其他一些方法,最典型的方法是利用VirtualAllocEx函数来在其他进程中申请和提交内存空间。然后用WriteProcessMemory来分别把函数体和参数分别写入申请和分配的内存空间中去。然后再生成要修改的数据,最后用WriteProcessMemory来修改api入口,把入口的前10字节修改为刚刚生成的跳转数据。比如在远程进程中你写入的参数和函数体的内存地址分别为0x00010000和0x00011000,则生成的跳转数据为 68 00 00 01 00 E8 00 10 01 00(PUSH 00010000 CALL 00011000),这样程序运行createfile函数的时候将会先运行PUSH 00010000 CALL 00011000,这样就达到了跳转的目的。此刻我们应该时刻注意堆栈的状态,对于CreateFile有 HANDLE CreateFile( LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ); 可以看到其有7个参数,于是在调用之前,堆栈应该已经被压入了这7个参数,堆栈的样子: |....| <---ESP |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 这是执行到我们的跳转语句:PUSH 00010000,于是堆栈又变了: |....| <---ESP |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 接着执行CALL 00011000,堆栈变为: |...| <---ESP |api入口之后的第六个字节的指令的地址| |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 接下来就到了我们的拦截函数中拉,当然,函数肯定也会做一些类似动作,把EBP压栈,为局部变量分配空间等。这时候堆栈的样子又变了: |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP| dwMessageBox; pfnMessageBox(NULL, PFileName, PFileName, MB_ICONINFORMATION |MB_OK); //输出要打开的文件的路径..... } 对于你要使用的其他函数,都是使用同样的方式,利用这个参数来传递我们要传递的函数的绝对地址,然后定义这个函数指针,就可以使用了。 好了,接下来我们该让被拦截的api正常工作了,这个不难,把他原来的数据恢复一下就可以了。那入口的10个字节。我们在改写他们的时候应该保存一下,然后也把他放在参数中传递给拦截函数,呵呵,参数的作用可多了。接着我们就可以用WriteProcessMemory函数来恢复这个api的入口了,代码如下: PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess; PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory; if(!pfnWriteProcessMemory(pfnGetCurrentProcess(), (LPVOID)pfnConnect, (LPCVOID)pRP->szOldCode, 10, NULL)) pfnMessageBox(NULL, pRP->szModuleName1, pRP->szModuleName2, MB_ICONINFORMATION | MB_OK); 其中这些函数指针的定义和上面的类似。 而参数中的szoldcode则是在源程序中在修改api之前保存好,然后传给拦截函数,在源程序中是用ReadProcessMemory函数来获取他的前10个字节的: ReadProcessMemory(GetCurrentProcess(), (LPCVOID)RParam.dwCreateFile, oldcode, 10, &dwPid) strcat((char*)RParam.szOldCode, (char*)oldcode); 接下来如果你还继续保持对该api的拦截,则又该用WriteProcessMemory 来修改入口了,跟前面的恢复入口是一样的,只不过把szOldCode换成了szNewCode了而已。这样你又能对CreateFile继续拦截了。 好了,接下来该进行堆栈的清理了,也许你还要做点其他事情,尽管做去。但是清理堆栈是必须要做的,在函数结束的时候,因为在我们放任api恢复执行之后,他又return 到我们的函数中来了,这个时候的堆栈是什么样子呢? |EDI| <---ESP |ESI| |EBX| |局部变量| |EBP| <---EBP |api入口之后的第六个字节的指令的地址| |00010000| |createfile执行后的下一条指令地址| |参数1| |参数2| |参数3| |参数4| |参数5| |参数6| |参数7| |..| 我们的目标是把返回值记录下来放到EAX寄存器中去,把返回地址记录下来,同时把堆栈恢复成原来的样子。 首先我们恢复那些寄存器的值,接着释放局部变量,可以用mov esp, ebp.因为我们不清楚具体的局部变量分配了多少空间。所以使用这个方法。 __asm {POP EDI POP ESI POP EBX //恢复那些寄存器 MOV EDX, [NextIpAddr]//把返回地址放到EDX中,因为待会儿 //EBP被恢复后,线程中的所有局部变量就不能正常使用了。 MOV EAX, [RetValue]//返回值放到EAX中,当然也可以修改这个返回值 MOV ESP, EBP//清理局部变量 POP EBP//恢复EBP的值 ADD ESP, 28H //清理参数和返回地址,注意一共(7+1+1+1)*4 PUSH EDX //把返回地址压栈,这样栈中就只有这一个返回地址了,返回之后栈就空了 RET } 这样,一切就完成了,堆栈恢复了应该有的状态,而你想拦截的也拦截到了。 五:后记 拦截的方式多种多样,不过大体的思路却都相同。要时刻注意你要拦截的函数的堆栈状态以及在拦截函数中的对数据的引用和函数的调用(地址问题)。
Windows数据类型(FantasiaX原创)
bluniu的专栏
10-25 1010
        由微软Windows操作系统所支持的各种数据类型是用来定义函数的返回值、函数和消息的参数以及结构体成员(因为Win32程序是用C语言来编写,所以没有“类”这个概念)的。这些数据类型定义了上述元素的尺码(在内存中的,也就是占用内存的字节数)和含义。笔者以前一直不太注意这些东西,结果在程序设计时可谓步履维艰。不同类型的常/变量,在程序用扮演的角色相去甚远,了解这些类型,对剖析程序的工作
Windows常见数据类型及变量_常量的命名规律
06-07
Windows常见数据类型及变量_常量的命名规律
windows 编码规范【Windows Coding Conventions】(docs.microsoft.com翻译)
lygl35的博客
03-20 407
英文原版地址:https://docs.microsoft.com/zh-cn/windows/win32/learnwin32/windows-coding-conventions 如果您是Windows编程的新手,当您第一次看到Windows程序时,可能会感到不安。代码中充满了奇怪的类型定义,如DWORD_PTR和LPRECT,变量的名称如hWnd和pwsz(称为匈牙利符号)。花点时间学习一些Windows编码约定是值得的。 绝大多数的Windows api由函数或组件对象模型(COM)接口组成。很少有
windows库的函数
weixin_64257534的博客
06-06 1741
windows.h
PTCHAR、LPSTR、LPCSTR、PSTR等的区别
c914620529的博客
03-25 4850
CHAR 存放单个字符 WCHAR         存放双字符 TCHAR 与WCHAR无异 PTCHAR 指向双字符类型字符串 LPSTR 一个32位的指向字符串的指针       LPCSTR    一个32位的指向字符串常量的指针       LPWSTR      一个32位的指向unicode字符串的指针       LPCWSTR   一个32
typedef char TCHAR, *PTCHAR; 是什么意思?
weixin_30653097的博客
03-29 520
原来,它就等价于 typedefcharTCHAR;typedefchar*PTCHAR; PTCHAR相当于char* 转载于:https://www.cnblogs.com/wuqi1003/p/5333259.html
ASP提高数据显示效率-缓存探幽
10-30
写在前面的话:此篇还是asp相关的,相信玩ASP的都有这个感觉,当数据有5万多条时-------just like音乐网,要调用最新的10条在页面显示,糟糕的是,当n多用户打开页面访问的时候,每个用户每次都要读取数据库一次,这无疑降低...
Hadoop现有测试框架探幽
03-02
从使用hadoop的第一天开始,就一直没有离开过对Hadoop自身功能的开发以及hadoop本身bug的修复的相关开发。这样的开发模式已经持续了好几年,但是可以从中发现的一个现象:对于我们修复的bug或者开发的功能,一直都...
曲径探幽教散文.pdf
11-01
曲径探幽教散文.pdf
windows中的数据类型
12-17
windows中的数据类型
windows数据类型
08-15
详细罗列了windows数据类型与C/C++编程语言数据类型之间的关系,方便各位windows编程爱好者或者业内人士查询
Windows数据类型
04-21
Windows数据类型的基础学习以及常用的数据类型
2.1 Windows 数据类型
m0_37795876的博客
07-31 453
Windows API 数据类型 命名规则 数据结构
Windows编程中各种前缀含义(整理中)
weixin_60964305的博客
07-27 378
帮你容易的了解Windows知识
windows变量前缀总结(原创)
蜕变永远是痛苦的,坚守痛苦,保留希望,迎接明天!
09-11 3231
 1.匈牙利表示法Windows变量的常用前缀 前缀 变量定义 变量
string函数c语言
最新发布
07-27
- *2* [c语言String字符串函数探幽](https://blog.csdn.net/Duary/article/details/106163396)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值