到他说的那家饭店去蹭饭了!^_^)这里的 ThunkRVA 就相当于你朋友的手机号码, SendMessageA 就相当于你那个朋友。而 FirstThunk 就是你手机里的号码分组。你把你的多个朋友都放在 FirstThunk 这样的号码分组里,每个 ThunkRVA 就是你一个朋友的手机号码。你要找他们,就是通过 ThunkRVA 这样的手机号码来和他们联系,直接去他家找他你很可能要碰壁。而移动或联通就相当于操作系统,他们负责把你的手机号码和你的朋友对应上。而 FirstThunk 这样的号码分组还有一个好处就是你可以不记你某个朋友的具体号码,只要记得 FirstThunk 号码分组的值,你的朋友会按顺序在里面排列。比如上图中 USER32.dll 中的第一个函数是 SendMessageA,它的 ThunkRVA 值就是 FirstThunk 值。如果还有第二个函数,比如是 MessageBoxA,它的值就是 FirstThunk 值加上 4,其余类推。你只要记住各个函数的位置,也可以通过 FirstThunk 加上位置对应值来找到它。当然这比不上直接看 ThunkRVA 来得方便。说了上面这些,我们就要考虑怎么在程序中调用了。你可能会说,我在 OllyDBG 中直接在我们要修改的程序中这样调用:CALL SendMessageA。哦,别这样。这等于我上面说的都是废话,会让我感到伤心的。你这里的 CALL SendMessageA 就相当于也不跟你朋友打个招呼就直接去他家找他,很有可能你会乘兴而去,败兴而归。别忘了他的手机号码,我们只有通过号码才知道他到底在什么地方。我们应该这样:CALL DWORD PTR [40B01A],这里的 40B01A 就是上面的 SendMessageA 在程序载入后的所在的地方,由基址 00400000 加上 ThunkRVA 0000B01A 得到的。这就是你要找的人所在的地方,不管他跑到哪,你有他的手机号码就能找到他。同样道理,你只要记住了 ThunkRVA 值,就按这个来调用你需要的函数,在别的 Windows 系统下也是没有问题的。系统会自动把你要找到函数和 ThunkRVA 值对应上。而你在 OllyDBG 中写 CALL SendMessageA,可能你在你的系统上成功了,可放到别的系统下就要出错了。为什么?因为你找的人已经不在原来的位置了,他跑到别的地方去了。你还到老地方找他,当然看不见人了。说了这么多废话,也不知大家听明白了没有,别越听越糊涂就行了。总之一句话,别像 CALL SendMessageA 这样直接调用某个函数,而应该通过 ThunkRVA 值来调用它。下面我们回到我们要修改的 MyUninstaller 上来,先用 LordPE 打开看一下,呵呵,原来 CreateFontIndirectA 和 SendMessageA 原程序里面都有了,省了我们不少事情。看一下这两个函数的 ThunkRVA 值,CreateFontIndirectA 在 GDI32.dll 里面,ThunkRVA 值是 0000B044,这样我们就知道在程序中调用它的时候就是 CALL DWORD PTR [0040B044]。同样,SendMessageA 的ThunkRVA 值是 0000B23C,调用时应该是这样:CALL DWORD PTR [0040B23C]。了解了这些东西我们就来考虑怎么写代码了。首先我们来看一下 CreateFontIndirectA 和 SendMessageA 这两个函数的定义:
CreateFontIndirectA:
HFONT CreateFontIndirect(
CONST LOGFONT *lplf // pointer to logical font structure );
CreateFontIndirect的返回值就是字体的句柄。
对于这个函数我们需要的参数就是给它一个 LOGFONT 的字体结构指针,我们只要在要修改程序的空白处建一个标准的9号(小五)宋体的 LOGFONT 字体结构,再把指针给 CreateFontIndirectA 就可以了。
SendMessageA:
LRESULT SendMessage(
HWND hWnd, // handle of destination window UINT Msg, // message to send
WPARAM wParam, // first message parameter LPARAM lParam // second message parameter );
上面的第一个参数是窗口句柄,我们知道 CreateWindowExA 返回的就是窗口句柄,我们可以直接拿来用。第二个消息参数我们这里是设置字体,选WM_SETFONT,这个值是 30H。第三个参数是字体句柄,可以由上面的 CreateFontIndirectA 获得。第四个参数我们不需要,留空。现在我们准备开始写代码,首先我们要在程序中建一个标准9号宋体的 LOGFONT,以便于我们调用。对于 LOGFONT,我们再来看一下定义:
typedef struct tagLOGFONT { // lf LONG lfHeight; LONG lfWidth;
LONG lfEscapement; LONG lfOrientation; LONG lfWeight; BYTE lfItalic;
BYTE lfUnderline; BYTE lfStrikeOut; BYTE lfCharSet;
BYTE lfOutPrecision; BYTE lfClipPrecision; BYTE lfQuality;
BYTE lfPitchAndFamily;
TCHAR lfFaceName[LF_FACESIZE]; } LOGFONT;
这样我们的标准9号宋体的 LOGFONT 值应该是32字节,16进制就像这样:F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5。现在在程序中找个空地。我们用 PEiD 来帮助我们寻找,用 PEiD 打开程序,点 EP 段后面的那个 > 号,随便选择一个区段右击,选“搜索全0处”(原版好像是cave什么的):
我们看到 PEiD 把搜索到的空间都给我们列出来了:
现在我们用 WinHEX 打开我们要修改的程序,转到偏移 9815 处,从 9815 处选择 32 字节(16进制是0X20)的一个选块,把光标定位到 9815 处,右键选择菜单 剪贴板数据->写入(从当前位置覆写),随后的格式选择 ASCII Hex,把我们 LOGFONT 的 16 进制值
F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5
写入保存。现在我们用 OllyDBG 载入已添加了 LOGFONT 数据的程序,先转到 VA 40A415 处(从上图中看到的)往下看一下:
因为 SendMessageA 还要用到一个窗口句柄,我们可以通过前面的 CreateWindowExA 来获得。现在我们就把前一张图中的 .rdata 区段中的地址 0040C56E 作为我们保存窗口句柄 HWND 值的临时空间。一切就绪,开始写代码。先回顾一下我们最先说的那两个要修改的地方:
第一个要改的地方:
00408F5E |. FF15 98B24000 |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \\CreateWindowExA 00408F64 6A 00 PUSH 0 ; 修改前
00408F66 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 00408F69 |. E8 A098FFFF |CALL
修改后:
00408F5E |. FF15 98B24000 |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \\CreateWindowExA
00408F64 E9 D5140000 JMP myuninst.0040A43E ; 跳转到我们的补丁代码处 00408F69 |. E8 A098FFFF |CALL
第二个要改的地方:
00408F91 |. FF15 98B24000 |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>] ; \\CreateWindowExA
00408F97 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX ; 改这里 00408F9A 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 00408F9D |. FF30 |PUSH DWORD PTR DS:[EAX] ; /<%s>
00408F9F |. 8D85 B0FEFFFF |LEA EAX,DWORD PTR SS:[EBP-150] ; | 00408FA5 |. 68 D0D94000 |PUSH myuninst.0040D9D0 ; |format = \00408FAA |. 50 |PUSH EAX ; |s
00408FAB |. FF15 90B14000 |CALL DWORD PTR DS:[<&MSVCRT.sprintf>] ; \\sprintf