逆向分析Kernel32.dll!BaseProcessStart函数

最新推荐文章于 2024-08-12 23:15:08 发布

yuzl32

最新推荐文章于 2024-08-12 23:15:08 发布

阅读量4.7k

点赞数 1

分类专栏： WINDOWS/R3/R0 文章标签： exception c thread pointers struct 汇编

本文链接：https://blog.csdn.net/yuzl32/article/details/5373015

版权

本文详细分析了Kernel32.dll中的BaseProcessStart函数，探讨了其内部如何设置线程入口点为mainCRTStartup，并通过SEH处理异常。通过汇编代码和C/C++转换，揭示了函数如何使用CPPEH_RECORD扩展系统异常处理，以及异常过滤和处理函数的工作原理。最后，解释了程序真正运行时的系统调用流程。

摘要由CSDN通过智能技术生成

Kernel32.dll!BaseProcessStart汇编代码如下:

7C817054 ; __stdcall BaseProcessStart(x) 7C817054 _BaseProcessStart@4 proc near ; CODE XREF: BaseProcessStartThunk(x,x)+5j 7C817054 7C817054 ms_exc = CPPEH_RECORD ptr -18h 7C817054 arg_0 = dword ptr 8 7C817054 7C817054 push 0Ch //在__SEH_prolog中被更改为EBP 7C817056 push offset stru_7C817080 //暂时把ScopeTable保存在这里 7C81705B call __SEH_prolog // 设置EBP,安装SEH 7C817060 and [ebp+ms_exc.disabled], 0 // 这时的EBP已经指向7C817054所在位置 7C817064 push 4 // 入口函数所在地址所占的空间大小 7C817066 lea eax, [ebp+arg_0]// 入口函数所在地址 7C817069 push eax 7C81706A push 9 // 查询并设置线程的入口函数 7C81706C push 0FFFFFFFEh // GetCurrentThread() 7C81706E call ds:__imp__NtSetInformationThread@16 ; 设置线程的入口点函数为mainCRTStartup 7C817074 call [ebp+arg_0] // 调用mainCRTStartup 7C817077 push eax // dwExitCode 7C817078 7C817078 loc_7C817078: // CODE XREF: .text:7C84390Dj 7C817078 call _ExitThread@4 // 退出线程 7C817078 _BaseProcessStart@4 endp

翻译成C/C++代码大概如下：

//'*'表示待分析 #define SET_THREAD_ENTRY_ROUTINE 9 __stdcall BaseProcessStart(LPVOID lpfnStartRoutine) { DWORD retValue = 0; __try { //将主线程的入口函数设置为mainCRTStartup NtSetInformationThread(GetCurrentThread(),SET_THREAD_ENTRY_ROUTINE, &lpfnStartRoutine,sizeof(lpfnStartRoutine)); retValue = lpfnStartRoutine(); } __except(/*... ...*/) { /*... ...*/ } }

再来看一下__SEH_prolog函数，它的作用就是安装SEH，设置新的EBP。

7C8024D6 __SEH_prolog proc near