Сделать отладочную DLL (изменить cdecl на stdcall) для вызова из VB

Добрый день.

А как обнаружить свой адрес при входе в функцию какой-либо DLL-ки ?
А по русски говоря: Сохранить регистр EIP.

У меня пришло на ум только это (в отладчике, asm-ом не занимаюсь):
Типа: Выцепили указатель на самое начало DLL (на header).

А не бывает ли на свете "ещё изящнее" решения ?

И это, ... все 52 фуни (!!! МОЕЙ !!!) DLL-ки поголовно при входе в EAX содержат свою точку входа.
Наверное это всё-таки "медвежья услуга" компилятора вызывающей программы ?
Стоит на это надеяться ? А то мож зря процедуру "себе под нос" затеваю ?

Заранее спасибо !

0

Gazzi, знак доллара возвратит текущий адрес
..а твой код, это вычисление "дельта-смещения" http://govnokod.ru

0

Gazzi, давайте для начала определим – зачем это нужно?
Обычно адрес для позиционно-независимого кода (position independent code (PIC)) как раз так и получают:
Ну или:
(для удобства использования или если вызовов call geteip не меньше 3-х).

R71MT, дельта-смещение – это всё же разность адресов, т.е.:
А в примере TC как раз получение какого-то адреса относительно текущего.

Кто-то по ссылке R71MT написал, что при записи mov eax,$ (mov eax,offset $) будет сгенерирован фиксап. Тут надо быть аккуратным, т.к. не все ассеблеры (или не всегда) по умолчанию добавляют секцию фиксапов (даже в DLL, не говоря уже об EXE). Но если вы уверены, что она будет добавлена (в fasm это делается строкой section '.reloc' fixups data readable discardable), тогда вариант mov eax,$ (mov eax,offset $) будет самым простым и изящным

Добавлено через 7 минут
Для 64-битного режима можно вообще не парится и написать просто:
или (то же самое)
Безо всяких фиксапов, т.к. там адресация относительная (RIP-relative).
Именно lea, т.к. операнд mov – фактически число, а не адрес, т.е. оно будет абсолютным, а не относительным...

1

R71MT
А куда засовывать "Доллар", в отладчик ?
Это готовая программа, а не Asm-проект.
... Дельта ...
Да какая разница, как это называется.
Ещё что-то есть на тему "выцепить EIP", или это единственный оператор, выцепляющий сей регистр (кроме конечно
переключения задачи) ?

Jin_X
... определим – зачем это нужно ...
Ну так в посте "Доступ к памяти" определили. Ну давайте ещё раз определим:
Имеется DLL-ка, от которой я потерял исходник. Она, зараза, написана Си-шниками, не нравится мне её выходы из
фуней по Ret-у. Мне надо по RETN-у. Вот и модернизирую ...

Фунуции при входе в EAX содержат свою точку входа.
Ну а про это кто/што может сказать ?

DLL-ка Win32, поэтому RAX не катит.

0

Сообщение от Gazzi Да какая разница, как это называется.

Разница есть, ибо используется по-разному.
Дельта так: mov eax,[ebx+MyVar], где ebx – дельта, а если имеется готовый адрес (с фиксапами), то можно без замороча написать mov eax,[MyVar]. Или если это адрес начала, то что-то типа mov eax,[ebx+MyVar-Start], где ebx – адрес начала программу (без фиксапа).

Сообщение от Gazzi Ещё что-то есть на тему "выцепить EIP", или это единственный оператор, выцепляющий сей регистр (кроме конечно переключения задачи) ?

Да. Ну есть ещё, конечно, syscall и int, но они для данного случая не подойдут.

Сообщение от Gazzi не нравится мне её выходы из фуней по Ret-у. Мне надо по RETN-у

А в чём разница?

Сообщение от Gazzi Фунуции при входе в EAX содержат свою точку входа.

С чего это вдруг?

0

... Разница есть ...
В чём ?
Сколько надо, столько "смещения" и прибавлю к началу файла. И совершенно по барабану, как это обзывается.

... Syscall Int ...
Hу, прерывания наверное тут не нужны...
А вот syscall, это что за команда, какой у неё опкод, хотелось бы узнать ?

... Ret, Retn, в чём разница? ...
Стек "на место" ставит одна из них, а другая этого не делает.

... С чего это вдруг? ...
Вот и я УДИВЛЯЮСЬ !

(С наступающим всех ...)

0

Сообщение от Gazzi А вот syscall, это что за команда, какой у неё опкод, хотелось бы узнать ?

syscall (0F 05) - это системный вызов, вызов функций ядра... используется обычно в Linux, а винде используется только внутри системных DLL.

Сообщение от Gazzi ... Ret, Retn, в чём разница? ... Стек "на место" ставит одна из них, а другая этого не делает.

retn - это ret near, в Windows только она и используется обычно. Разница бывает, когда есть операнд или его нет. Но это не ret и retn, это ret и ret imm16 (ну или ret X можете назвать или т.п.)

p.s. С новым годом!

0

syscall
Ну мы всё равно с неё ничего не "выдоим" - забыли про неё.
"Нормальных" больше нет для получения EIP ?

RetN-ы ...

Мне надо:
RETN (код C3)

Заменить на:
RETN xx yy (код C2 yy xx)

Ну и что последняя делает со стеком ?

0

Сообщение от Gazzi "Нормальных" больше нет для получения EIP ?

Нет.

Сообщение от Gazzi RetN-ы ...

Ну хоть бы тогда пробел поставили

Добавлено через 50 секунд

Сообщение от Gazzi Ну и что последняя делает со стеком ?

ret N читает (E)IP из стека и затем удаляет N байт из стека. Короче, грубо говоря:

0

- "Нормальных" больше нет для получения EIP ?
- Нет.
Тогда берём сию процедуру "на вооружение", записываем её в свою "шпаргалку",
и забываем об этом.

Переходим к следующему этапу:
1). Изменяем точку входа в DLL на свою, в "нашей" программной памяти в конце секции ".text".
2). Проделываем нужные процедуры. (Конкретно на данный момент):
а). Заносим в "нашу" память данных в конце секции ".data" версию, например вида "DBG v1.01",
а то потом запутаюсь в этих модернизируемых файлах.
б). Указатель на начало всей программы вида например: 1100.0000. Он же может быть и другим
(например 002E.0000), в зависимости куда DLL загрузится. На "общее" начало - это чтоб потом
легче в уме смещения на всяческие "свои" фишки высчитывать, а то пишу "криворучками".
3). Отдаём управление дальше, на штатную точку входа. Как я понял с помощью JMP, видимо ничего
не возвращает нам эта точка входа.

Какие-нибудь "подводные камни" всплывут при этой "технологии" ?

... Ну хоть бы тогда пробел поставили ...
Да что-то мне в "три оставшиеся извилины" запало, что RET - это "C3", а RETN - "C2 xx yy".
Буду внимательней.

... Фунуции при входе в EAX содержат свою точку входа ...
А этот "полином" так и не выяснен...
Вызываю их из VB6, и из IDE и из компилированной - Всё чётко, на каждой фуне свой адрес. (???)...
И в Нете ничо не обнаружил на эту тему...
Просто если это "так будет всегда" и из всех программ - то и первая часть "модернизации" не нужна.

0

Jin X, есть еще способ:

Добавлено через 1 час 18 минут

Сообщение от Gazzi Мне надо: RETN (код C3) Заменить на: RETN xx yy (код C2 yy xx)

Т.е. получается cdecl соглашение было использовано (очистку стека производит вызывающая программа). Тогда должно быть известно количество аргументов для каждой функции, иначе задачу решить надежно не получится. Вы ведь не будете знать на сколько стек ровнять.

Сообщение от Gazzi Переходим к следующему этапу: 1). Изменяем точку входа в DLL на свою, в "нашей" программной памяти в конце секции ".text". 2). Проделываем нужные процедуры. (Конкретно на данный момент): а). Заносим в "нашу" память данных в конце секции ".data" ...

А зачем так сложно. Добавляете в импорт свою dll которая похучит функции в рантайме (в хуках равняем стек).

1

0

Сообщение от ФедосеевПавел Ведь адреса всех программ пользовательского доступа - не настоящие, а виртуальные или что-то в этом роде.

В досовском EXE есть relocation table – таблица указателей (адресов), куда нужно добавить значение PSP. Т.е. когда мы пишем mov ax,@data, компилируется mov ax,5, например, и в relocation table добавляется адрес операнда этого mov'а. Когда программа загружается, то к 5 прибавляется PSP. Здесь работа идёт только с сегментами, смещения не меняются, они фиксированы.
В Windows используется плоская модель памяти, сегменты почти не используются (разве что FS, GS, SS). Основная программа грузится по фиксированному базовому виртуальному адресу (image base, обычно 400000h), поэтому ей можно не иметь этой таблицы (там она чуть по-другому работает, но суть та же), она для него бесполезна. А вот для DLL она нужна, т.к. в одно адресное пространство грузится сразу несколько DLL, поэтому они должны иметь разный адрес.
Для программы (и DLL) виртуальный адрес и есть самый настоящий, другие ему недоступны (и не нужны), несмотря на то, что физические адреса у них отличаются от виртуальных.

1

0

0

Сообщение от ФедосеевПавел А на уровне ЯВУ разве не поддерживаются различные соглашения?

Да, верно. Что-то меня понесло вчера, не нужно ничего перехватывать. Просто делаем хэндлер с сигнатурами функций и используем его из любого поддерживающего cdecl языка. Все.

0

jupman
Что это за манипуляции со структурой ?
Это что, меньше байт займёт чем CALL ... POP,
к чему это всё ?

... должно быть известно количество аргументов для каждой функции ...
Ну конечно же известно, и для каждой фуни. Описалово то любезно предоставлено.

... Добавляете в импорт свою dll ...
Вот тут недопонял, поподробней можно...

... у меня непонимание конечной цели ТС ...
Сделать stdcall отладочную DLL-ку.
... дизассемблированный код ... довести до компиляции masm32 и...
Ну а я "ручками" "Довожу до компиляции OllyDBG и..."

- зачем нужен eip ?
- что бы обращаться к адресам своего шелл-кода ...
Хоть один понимающий !

... А на уровне ЯВУ разве не поддерживаются различные соглашения ? ...
Вот это и можно было выяснить, какие ЯВУ какие деклы "держат",
прежде чем утверждать:
... Нет, что-то ТС делает не то. Это не считая пагубного пути отказа от обновления...
Какое ещё обновление, обновление чего ???

... истинное решение - во внимательном чтении документации ...
И что там будет "вычитано" применительно к данному вопросу ?
Не иначе: VB быстренько (втихушку) начнёт cdecl-ы переваривать ?

... утверждении гордыни ...
Где тут была какая гордыня ?

... умнее производителя, и последующем "допиливании".
Или в замене спектроанализатора вместе с dll ...
Огласите весь список пжлста, что мне ещё заменить, и с какими dll ?
Может быть для начала тещу/жену поучить, какие щи варить ?

... общается на собственном "птичьем" языке ...
Вы, уважаемый, ни одного совета не дали, ни на "птичьем", ни на каком другом.

... используем его из любого поддерживающего cdecl языка ...
А зачем вообще что-то модернизировать, если она и так вызывается
из языка, поддерживающего cdecl ?

В конце-концов: Заданы два конкретных вопроса:
1). На какие "подводные камни" можно наткнуться, создавая свою DLLEntyPoint ?
2). Почему каждая фуня на входе в EAX содержит свой адрес ?

0

Сообщение от Gazzi Что это за манипуляции со структурой ? Это что, меньше байт займёт чем CALL ... POP, к чему это всё ?

Ну, Jin X сказал, что другого способа нет. Просто дополнил.

Сообщение от Gazzi ... Добавляете в импорт свою dll ... Вот тут недопонял, поподробней можно...

Забудьте, не к чему тут перехваты.

Сделайте просто proxy-dll на языке который поддерживает оба соглашения. Пусть она импортирует cdecl-функции из dll (от которой у вас нет исходника, но есть прототипы), а экспортирует stdcall-функции (переходники к cdecl-функциям). Ну и используйте эту proxy-dll в VB.

Сообщение от Gazzi В стране недостаток снега штоль ? Чойто все дружно "пургу" взялись "нести".

Как спрашиваете, так вам и отвечают.

0

... proxy-dll на языке который поддерживает оба соглашения ...
Ну во первых: У меня нет в распоряжении такого языка

Во вторых:
С таким же успехом я могу со стороны вызывающей программы
накатать asm-вставку с "перетяжкой" RET-ов.
И посыпятся такие-же подобные вопросы:
А где мне взять адрес моей загруженной DLL, и тому подобное.
И опять, не получу ответа...

Какая разница, где ковырять, в DLL, proxy-dll или EXE.
Наткнусь на те же грабли.

Вот вместо proxy-dll, вставляю туда "proxy-вызовы"
(если их так можно "обозвать").

Не получил ответа на два конкретных вопроса, вот в чём засада.
Зато советов ...

0

Затрудняюсь с оценкой нижеследующих рассуждений, но предполагаю, что VB обязан работать с cdecl.

Не знаю VB, но сразу после прочтения задал поиск "поддержка vb соглашения cdecl" и ознакомился с темой на другом форуме (ссылку давать не могу - правила запрещают). Приведу цитату

Оказывается VB6 поддерживат вызов cdecl-функций В общем, VB вполне официально заявляет возможность поддерживать cdecl-функции. Убедиться можно в этом хотя бы засунув в свой проект такую строчку: Visual Basic 1 Private Declare Sub Boombara CDecl Lib "foo.dll () Если вы попытаетесь вызвать такую функцию из проекта, то получите скорее ошибку «Bad DLL calling convention». И если вы нажмёте на кнопку Help в окошечке с этой ошибкой, то в хелпе по этой ошибке можно найти вполне официальное заявление: MSDN98 об ошибке 49 писал(а): Bad DLL calling convention (Error 49) Arguments passed to adynamic-link library (DLL) must exactly match those expected by the routine. Calling conventions deal with number, type, and order of arguments. This error has the following causes and solutions: - Your program is calling a routine in a DLL that's being passed the wrong type of arguments. Make sure all argument types agree with those specified in the declaration of the routine you are calling. - Your program is calling a routine in a DLL that's being passed the wrong number of arguments. Make sure you are passing the same number of arguments indicated in the declaration of the routine you are calling. - Your program is calling a routine in a DLL, but isn't using the StdCall calling convention. If the DLL routine expects argumentsby value, then make sure ByVal is specified for those arguments in the declaration for the routine. - Your Declare statement for a Windows DLL includes CDecl. For additional information, select the item in question and press F1. Обратите внимание на последний пункт. В общем, об этом на форуме писали ещё давно — в 2004 году. И для меня это тоже далеко не новость была. Как видно из того топика, поддержка вызова CDecl-функций открыта только для Macintosh-версий VB/VBA (главным образом для маковского Офиса). И вот как раз сегодня упомянув в одном ICQ-шном разговоре эту фичу, меня вдруг осенило: — А в TLB-то мы тоже можем указывать calling convention наших функций (и методов) Ну и был поставлен эксперимент. Предположение было награждено удачным результатом! Соглашение cdecl — поддерживается, и вызовы к нему совершенно правильно компилируются!

Далее, там приводится пример успешного вызова wsprintf, но потом добавлено

Я уж было начал делать TLB-шку с объявлениями всех функций сишного рантайма (стандартной библиотеки Си), проживающих в NTDLL, таких как printf, scanf, isdigit, memcpy, strcpy, упомянутой в пресловутом топике qsort и им подобным. И тут такая досада — нельзя отлаживать (дело даже не доходит до вызова функций), ибо падает.

---------------------------------------------
Кроме этого, в теме
Работа с DLL в Visual Basic (статья)
нашёл

Сообщение от Craw это всё описываются библиотеки с stdcall. А как же cdecl? Ну, в VB есть ключевое слово cDecl, причём использоваться оно должно так: Visual Basic 1 Private Declare Function название_функции cDecl Lib "название_библиотеки"... Однако вероятно вы получите Bad DLL Calling Convention (Error 49). Точнее, ваша программа будет работать лишь в Native (машинном) коде, т.е. уже полностью откомпилированная. А в режиме отладки (P-код), как и в самой IDE - нет. Дальнейшая разработка программы будет очень осложнена. Мда, вот они какие - недокументированные возможности! Может есть шанс подключать cdecl библиотеки с динамическим подключением?

--------------------------------------------
Что скажите на это?
Может нужно искать решение в синтаксисе VB?

0