1-2 Windows下启动函数(真正的入口函数) 之寻找入口函数与_security_init_cookie

最新推荐文章于 2023-04-23 12:21:55 发布

coolbrucekai

最新推荐文章于 2023-04-23 12:21:55 发布

阅读量3.4k

点赞数 1

分类专栏： C++逆向

本文链接：https://blog.csdn.net/coolbrucekai/article/details/32712715

版权

本文探讨了Windows下控制台和GUI程序的真正入口函数_tmainCRTStartup，并分析了_security_init_cookie函数的作用，涉及栈保护机制、堆初始化和托管程序检查。文章通过代码示例和流程解释了函数的具体行为。

摘要由CSDN通过智能技术生成

上一节详细介绍了/MT /MD之间的区别。在这一节中，我们首先要找到win32程序真正的启动函数。

win32程序分为两种：

1.控制台(/SUBSYSTEM:CONSOLE )

2.GUI(/SUBSYSTEM:WINDOWS)

首先看控制台版本的：

写一段最简单的，或者就直接使用编译器参数的默认main函数，如下：

// EntryFunction.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"


int _tmain(int argc, _TCHAR* argv[])
{
	return 0;
}

1.使用/MD选项

F9下断到main函数的标签处，F11后，在Call Stack中回溯到_tmainCRTStartup(),当前文件为crtexe.c。如下：

2.使用/MT选项

F9下断到main函数的标签处，F11后，在Call Stack中回溯到_tmainCRTStartup(),当前文件为crt0.c。如下：

也就是说，不同的运行时链接方式，其实现代码也是不同的。但是其入口点函数的名称是相同的，都是_tmainCRTStartup。这便是Windows下的启动函数(真正的入口函数)。

下面我们分别讨论，这两者在入口函数中都干了些什么。

首先看_security_init_cookie，这个函数在两个实现文件中是一样的，代码如下：

/***
*__security_init_cookie(cookie) - init buffer overrun security cookie.
*
*Purpose:
*       Initialize the global buffer overrun security cookie which is used by
*       the /GS compile switch to detect overwrites to local array variables
*       the potentially corrupt the return address.  This routine is called
*       at EXE/DLL startup.
*
*Entry:
*
*Exit:
*
*Exceptions:
*
*******************************************************************************/

void __cdecl __security_init_cookie(void)
{
    UINT_PTR cookie;
    FT systime={0};
    LARGE_INTEGER perfctr;

    /*
     * Do nothing if the global cookie has already been initialized.  On x86,
     * reinitialize the cookie if it has been previously initialized to a
     * value with the high word 0x0000.  Some versions of Windows will init
     * the cookie in the loader, but using an older mechanism which forced the
     * high word to zero.
     */

    if (__security_cookie != DEFAULT_SECURITY_COOKIE
#if defined (_M_IX86)
        && (__security_cookie & 0xFFFF0000) != 0
#endif  /* defined (_M_IX86) */
       )
    {
        __security_cookie_complement = ~__security_cookie;
        return;
    }


    /*
     * Initialize the global cookie with an unpredictable value which is
     * different for each module in a process.  Combine a number of sources
     * of randomness.
     */

    GetSystemTimeAsFileTime(&systime.ft_struct);
#if defined (_WIN64)
    cookie = systime.ft_scalar;
#else  /* defined (_WIN64) */
    cookie = systime.ft_struct.dwLowDateTime;
    cookie ^= systime.ft_struct.dwHighDateTime;
#endif  /* defined (_WIN64) */

    cookie ^= GetCurrentThreadId();
    cookie ^= GetCurrentProcessId();

#if _CRT_NTDDI_MIN >= NTDDI_VISTA 
#if defined (_WIN64)
    cookie ^= (((UINT_PTR)GetTickCount64()) << 56);
#endif  /* defined (_WIN64) */
    cookie ^= (UINT_PTR)GetTickCount64();
#endif  /* _CRT_NTDDI_MIN >= NTDDI_VISTA  */

    QueryPerformanceCounter(&perfctr);
#if defined (_WIN64)