com逆向方法找函数

这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.

前提知识:(熟悉com结构的话,可以跳过这一部分)

1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).

2,com从整体上看,分为com客户端,com,com组件(也就是服务器)

3com从实现上看包含有接口,类(即接口的实现),类工厂(作用是创建类对象),和几个dll函数。

接口的作用是向外界表明调用的方式,这是对外可见部分。类,负责实现接口,对外部可见。类工厂,负责创建类的实例,对外不可见。dll函数有DllGetClassObjectDllCanUnLoadNowDllRegisterServerDllUnregisterServer等,对外可见.其中最重要的是DllGetClassObject,他和类工厂的CreateInstance合作,获取接口的指针.外界获取接口指针的方式是调用COM库函数CoCreateInstance(还有其他方式)CoCreateInstance函数先调用DllGetClassObject函数,来建立类工厂对象;然后调用类工厂的函数CreateInstance,来建立类对象,进而得到接口指针.

4,对象在内存中的结构,搞不清楚会比较麻烦.

开始逆向:

我们从最DllGetClassObject着手.

1,顺着DllGetClassObject的汇编代码向下走,找到一个对new的调用.这是在建立类工厂.一般只new十几个字节.第一个 dword是用来存放类工厂指针的.然后,类工厂为了控制自己的生存时间,会使用一个Dword类型的引用记数.

2,再向下走,碰到的地一个函数,就是类工厂的初始化函数,也就是把上面分配的空间填充上固定的值.

3,  连续碰到这两条语句的时候,停下来:

    call    dword ptr [edx;调用类工厂的QueryInterface();

   call    dword ptr [edx+8]  ;调用类工厂的Release();

类工厂的几个函数次序固定,是这样分布的:

QueryInterface

AddRef

Release

CreateInstance

LockServer

edx 里面存放的是类工厂的指针.就是指向上面这个数组.所以[edx]== QueryInterface(),[edx+8]== AddRef();[edx+0xc] == CreateInstance ! 最重要的是CreateInstance,他负责建立类的实例.

4根据第3步的edx,向上查找他的来源,找..找..找...好,发现他最终在第二步的初始化函数里面被赋值!如下面两条指令:

mov     dword ptr [eax], offset pFactoryFunction

mov     dword ptr [eax+4], 1

"pFactoryFunction"就是类工厂的函数数组了,也就是上面5个函数的!!

5,现在我们进去pFactoryFunction,到第四个函数,也就是CreateInstance里面去看看.这就是建立类对象的函数哦!在这里面,可以得到IID,和接口的方法.其实这个过程也就是先new一个空间,然后在初始化这个空间,再调用接口对应的方法.具体就不写了.到时候当面交流.

 

你可能感兴趣的:(汇编,服务器,dll)