查看DLL中导出的函数及参数

最新推荐文章于 2024-04-19 16:50:01 发布
最新推荐文章于 2024-04-19 16:50:01 发布
阅读量1.1w 收藏 7
点赞数
分类专栏: 其它 文章标签: dll reference hook 汇编 winapi object

http://wwblog.yo2.cn/articles/%e6%9f%a5%e7%9c%8bdll%e4%b8%ad%e5%af%bc%e5%87%ba%e7%9a%84%e5%87%bd%e6%95%b0%e5%8f%8a%e5%8f%82%e6%95%b0.html

我这收藏有一个CSDN上的贴子,是jyu1221(天同)写的,我觉得不错。
可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。
现在使用W32DSM来具体说明:
1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。
它可以直接定位到该函数。
2。看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
...
3。然后往下找到该函数的出口,一般函数出口有以下语句。
...
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数
。。。。
-------------------------------------------
还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。
-------------------------------------------------
还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。
----------------------------------------------
到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。对于以上的分析,本人只其到了抛砖引玉,
希望对大家有点用处。
昨天已经简单的告诉大家,怎么知道接口的参数个数了,以及简单的接口。由于编译器的优化原因,
可能有的参数没有我前面说的那么简单,今天就让我再来分析一下的DLL的调用的接口。如果在该DLL的
某个函数中,有关于API调用的话,并且调用API的参数整好有一个或多个是该DLL函数的参数的话。
那么就可以很容易的知道该DLL函数的参数了。
举例说明:以下汇编代码通过W32DSM得到。
Exported fn(): myTestFunction - Ord:0001h
:10001010 8B442410 mov eax, dword ptr [esp+10]
:10001014 56 push esi
:10001015 8B74240C mov esi, dword ptr [esp+0C]
:10001019 0FAF742410 imul esi, dword ptr [esp+10]
:1000101E 85C0 test eax, eax
:10001020 7414 je 10001036
:10001022 8B442418 mov eax, dword ptr [esp+18]
:10001026 8B4C2408 mov ecx, dword ptr [esp+08]
:1000102A 6A63 push 00000000
:1000102C 50 push eax
:1000102D 51 push ecx
:1000102E 6A00 push 00000000

* Reference To: USER32.MessageBoxA, Ord:01BEh
|
:10001030 FF15B0400010 Call dword ptr [100040B0]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001020(C)
|
:10001036 8BC6 mov eax, esi
:10001038 5E pop esi
:10001039 C3 ret
-------------------------------------------------------
其中myTestFunction是需要分析的函数,它的里面调用了USER32.MessageBoxA
这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口
的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4 =4
PUSH之后的语句ESP+ XX,
其中(XX-4)/4才对应于第几个参数。
ESP+0C ==第2个参数
ESP+10 ==第3个参数
ESP+18 ==第5个参数
ESP+08 ==第1个参数
----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,
PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,
由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器
是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,
long myTestFunction(long p1,long p2,long p3,long p4,long p5);
但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数
多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的
参数呢?请看下面分析:
你有没有看到* Reference To: USER32.MessageBoxA, Ord:01BEh这一条语句,
这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:
int MessageBox(
HWND hWnd, // handle of owner window
LPCTSTR lpText, // address of text in message box
LPCTSTR lpCaption, // address of title of message box
UINT uType // style of message box
);
它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程
翻译为伪ASM就是:
PUSH uType
PUSH lpCaption
PUSH lpText
PUSH hWnd
CALL MessageBox
---------------------------------------
我们把这个于上面的语句对应一下,就可以清楚的知道
hWnd = NULL(0)
lpText = ecx
lpCaption = eax
uType = MB_OK(0)
---------------------------------
在往上面看,
原来 EAX 中的值是ESP+18中的内容得到了
ECX 中的值是ESP+08中的内容得到了

那么到现在为止就可以知道
lpText = ECX = [ESP+08] ==第1个参数
lpCaption = EAX = [ESP+18] ==第5个参数

现在我们可以把该DLL函数接口进一步写成:
long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

至于第3个参数ESP+10,然后找到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。
因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C
肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,
mov eax, dword ptr [esp+10]
test eax, eax
je 10001036
看到这个参数的用法了吗?
把它翻译位C语言就是:
if(p3)
{
//做je 10001036下面的那些指令
}
return ;
到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。

好了,到现在位置可以把正确的接口给列出来了:
long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);
哈哈,现在成功了!!!
long CryptExtOpenCER(long p1,long p2,LPCSTR p3,long p4);
其中第3个参数可能是文件名称,
或者是PCERT_BLOB
它有CERT_QUERY_OBJECT_FILE,或者是CERT_QUERY_OBJECT_BLOB来决定。
---------------------------------------------------------------
今天想到了一个很好的办法,来解决参数的问题,不过有一定难度。
1。根据以前讲的各种方法,可以很快速的知道参数的个数,假设该函数
名称为MyTestFunc,参数的个数为3个。
于是可以定义如下:
long MyTestFunc(long p1,long p2,long p3);
2。安装一个HOOK(DLL)
3。通过别的程序调用,触发HOOK,调试到HOOK里面,就可以很清楚的知道
调用的参数,数值。
-------------
此方法本人还没有去实现,相信肯定是可以的。这样得到的参数应该相当准确。

 

l799623787
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL函数查看器 v3.5
12-05
DLL函数查看器是一款DLL函数查看工具,直接把DLL文件拖入列表查看即可。 1.将本程序快捷方式放入系统 "SendTo" 目录后,就可以右键文件"发送到"实现文件快速查看 2.按粘帖键(Ctrl+V)将剪辑板字符串在列表匹配查找 3.关于参数量的问题,由于猜解方法过于简单对于部分函数未从当前函数返回,而是"JMP"到别的函数 所以猜解可能会有错误,需要结合已知函数库或反汇编查看,另此方法对于cdecl调用函数无效 4.关于反汇编视图的"到首返回"如果勾选即表示仅反汇编到头一个RETN为止,否者将按照"DisAsm_MaxLine" 所指定的行数.生效方法参见说明细则12~13. 5.将PEID userdb.txt 放置到程序目录下可以实现查壳 6.如果将易语言API伴侣DATA下文件复制到本目录,可获得已知函数信息.这首先要感谢API伴侣的作者 7.在目录下建立 "ViewApi.cfg" ,设置信息将写入配置文件可方便放入优盘等移动存储器使用 程序启动时会优先读取配置文件,如果文件不纯在则会访问注册表 8.如果你觉得这个美化窗口很浪费资源,可以打开注册表修改如下项值即可关闭 [HKEY_CURRENT_USER\Software\ViewApiList] "UI"=dword:00000000 9.如果你觉得反汇编影响了效率,可以打开注册表修改如下项值即可关闭 [HKEY_CURRENT_USER\Software\ViewApiList] "DisAsm"=dword:00000000 10.如果想关闭查壳功能可以删除userdb.txt或注册表如下设置 [HKEY_CURRENT_USER\Software\ViewApiList] "CheckShell"=dword:00000000 11.在线查询接口可在注册表如下位置修改,{searchTerms}为保留关键字被作为替换函数名 [HKEY_CURRENT_USER\Software\ViewApiList] "WebSearch"="http://www.baidu.com/s?wd={searchTerms}&ie=utf-8" 12.是否仅反汇编到头一个返回,1.表示是,0表示否 [HKEY_CURRENT_USER\Software\ViewApiList] "DisAsm_Retn"=dword:00000001 13.反汇编最大行数,即表示当前地址向后的长度,与函数实际长度无关.是否生效需要根据"DisAsm_Retn"设置 [HKEY_CURRENT_USER\Software\ViewApiList] "DisAsm_MaxLine"=dword:000003e8 键盘快捷键说明: TAB(SHIFT+TAB) -- 视图焦点切换 CTRL+S -- 视图切换 CTRL+F -- 文字搜索 F3 -- 搜索下一个 CTRL+A -- 项目全选 CTRL+C -- 复制选项目函数名称/汇编代码 CTRL+V -- 将剪辑板的字符在视图匹配搜索 ALT+← -- 反汇编视图上一次跳转的后退 ALT+→ -- ... 前进 Application -- 弹出右键菜单(右WIN键和右CTRL键间的那个键)
VS2008/VS2013/VS2015如何查看动态链接库dll导出哪些函数 配图详解
独步天秤的博客
10-01 1万+
1. 查看工具:dumpbin 2. 指令dumpbin -exports MyDll.dll(说明:MyDll.dll为我创建的动态链接库) 3. 举例:项目名称为MyDll——编译生成dll;TestDll——调用MyDll(代码待贴上) 4. 查看dll导出哪些函数:Visual Studio提供的工具:dumpbin(Visual Studio2008还有位于C:\Program F...
查看dll出的导出函数
w___notwo的博客
11-30 2267
查看dll出的导出函数
[C++] 如何查看DLL包含了哪些函数
老狼工作室的博客
01-20 1677
本文主要介绍了如何通过开源工具Dependancy和Visual Studio 自带的dumpbin工具来查看C++ DLL导出函数,以及DLL之间的依赖关系
查看DLL函数
亲亲Friends的博客
05-10 3万+
在使用Visual Studio时,可以用自带工具dumpbin.exe(一般在 \vs安装目录\VC\bin 下)来得到某个DLL所输出的符号的清单。如下面的命令:dumpbin -exports myTest.dll 这里推荐一个特别好用的工具:Dependency Walker(http://dependencywalker.com/ )。它可以扫描32或者64位的Windows模块(e...
查看dll导出函数
Scorpio Auding @ Blog++
08-23 5928
# -*- 以下摘自msdn -*-选项由选项说明符(短划线 ( – ) 或者正斜杠 (/))后跟选项的名称组成。选项名不能缩写。某些选项带参数参数在冒号 (:) 后指定。在选项规范内不允许有空格或制表符。使用一个或多个空格或制表符来分隔命令行的选项规范。选项名及其关键字或文件名参数不区分大小写。大多数选项适用于所有二进制文件;少数选项仅适用于某些类型的文件。默认情况下,DUMPBIN 将
如何查看Dll包含了哪些函数
zztoll的专栏
04-05 3万+
如何查看Dlll包含了哪些函数,有两种方法: 1. 用工具depends来查看 该工具可从http://www.dependencywalker.com/下载,打开该软件,再通过该软件打开需要查看Dll,比如打开C运行时库,C:\Windows\System32\msvcrt.dll,呈现如下: 在窗右侧部,看到了我们熟悉的打开文件的C语言标准库函数fopen. 2.利用dumpb...
如何获知DLL函数参数
谋事在人,成事在天
09-13 3277
如何获知DLL函数参数   NowCan 这篇文章是转贴的,不要问我具体的实现方法。可以通过反汇编来知道接口函数参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。现在使用W32DSM来具体说明:1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。2。看准该函数的入口,一般函数是以以下代码作为入
查看动态链接库函数参数类型
热门推荐
chinabinlang的专栏
06-28 4万+
原创文章 转载说明出处:chinabinlang   一般情况下,只有一个DLL文件,我们无法知道dll函数参数,通过DLL查看工具也只可以知道DLL函数的名字,如 Dependency。   一般可以通过如下方式: #define DllImport   __declspec( dllimport ) #define DllExport   __declspec( dllexp
查看dll函数接口的参数的方法
06-17 2万+
查看dll函数接口的方法,都有统一的方法,就是使用dependen工具,但是,这个工具看不了函数参数,那么,这时候有什么方法,方法有二:一个使用逆向的方法,如使用IDA,二是利用vs的提示功能,详情待下回分解,可先看以下链接 https://blog.csdn.net/chinabinlang/article/details/7698459 ...
获得dll的所有输出函数
09-01
利用这个程序可以得到一个dll的所有输出函数,这没有什么特别的,w32dsm就可以,不过w32dsm输出的是一般人看不懂得“名称修饰”,我这个程序是可以转换为C++函数声明的。 其实,这些功能微软都提供了(undname.exe和DUMPBIN.EXE),只不过不是用我们习惯的wins程序,而是控制台程序的形式提供的,我的这个这个程序只不过是提供了一个win程序外壳,所以想要使用这个程序,需要安装过VC6 用法是先用程序打开一个dll文件,然后调用“翻译全部...”功能
详解VS2019 dumpbin查看DLL导出函数
08-18
主要介绍了详解VS2019 dumpbin查看DLL导出函数,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
函数查看器 用于查看dll导出函数
06-13
查看动态链接库DLL文件接口函数信息.DLL函数查看器V2.0是在1.0版的基础上作了重大的改进,不仅支持查看DLL文件的导出函数和引用函数信息及引用函数来源,也支持所有符合PE文件格式的文件,包括EXE文件、OCX文件等的导出...
x64位DLL接口导出函数查看
07-01
x64位DLL接口导出函数查看器,用于查看64位的DLL导出函数
VS2017 利用Dumpbin查看DLL有哪些导出函数
01-20
例如,我想查看dll文件名为dll-1.dll,存放地址为:E:\1-C++\dll-1\x64\Debug。 Step#1: 进入VS 2017的开发人员命令提示符 Step#2: 输入dll-1.dll所在盘符,这样做的目的是切换到E盘。比如我的dll文件存放在这个...
00 【哈工大_操作系统】Bochs 汇编级调试方法及指令
weixin_53159274的博客
04-15 643
本文将介绍一下哈工大李治军老师《操作系统》课程在完成Lab时所使用到的 Bochs 调试工具的使用方法。
Linux 内核的汇编级别的系统调用
最新发布
m0_61629312的博客
04-19 84
系统调用号存储在 EAX 寄存器,系统调用的参数存储在寄存器 EBX、ECX、EDX、ESI、EDI 和 EBP 。系统调用号存储在 RAX 寄存器,系统调用的参数存储在寄存器 RDI、RSI、RDX、R10、R8 和 R9 。系统调用号存储在 R7 寄存器,系统调用的参数存储在寄存器 R0、R1、R2、R3、R4 和 R5 。总的来说,不同的架构有不同的系统调用实现方式,但它们都是通过在用户态和内核态之间触发软断来实现系统调用的。2024年4月19日,周五下午。
汇编语言】初识汇编
2301_80035097的博客
04-16 860
为什么要学习汇编?1.效率运行效率:开发软件核心部件,快速执行和实时响应。开发效率:做合适的事,开发效率无敌。2.底层:计算机及外围设备的驱动程序操作系统的内核。嵌入式系统:家用电器,仪表仪器,物联网……汇编语言在学习计算机起到的独特作用——直击计算机系统的核心学习汇编语言:. 向上为理解各种软件系统的原理,打下技术理论基础. 向下为掌握硬件系统的原理,打下实践应用基础。
探究汇编的栈帧和局部变量
weixin_41489908的博客
04-18 455
start:;准备参数并调用函数add esp, 4;分配4字节的栈空间给局部变量定义一个局部变量并赋值为20;使用局部变量;...把ESP复位到EBP,清理局部变量pop ebp;恢复EBP的旧值ret在上述代码,​​用于在栈上分配局部变量所需的空间。​​则是将20存储在这个局部变量。在汇编语言,对栈帧的操作与管理是函数调用和局部变量使用的基础。理解和掌握​​EBP​​和​​ESP​。
查看dll函数参数
07-27
在命令行执行 "dumpbin /exports DLL文件路径" 命令,即可显示DLL导出函数列表及其参数。 4.参考DLL的文档或说明。 一些DLL文件提供相关的文档或说明,其详细介绍DLL函数及其参数。可以查看这些文档或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值