标 题: 【原创】OllyDBG 入门系列（七）－汇编功能
作 者: CCDebuger
时 间: 2006-04-09,16:42:10
链 接: http://bbs.pediy.com/showthread.php?t=23873

<!-- google_ad_section_start -->OllyDBG?入门系列（七）－汇编功能

作者：CCDebuger

今天我们的目标程序是?MyUninstaller?1.34?版。这是一个非常小的程序卸载工具，VC6编写，大小只有61K。我拿到的这个是上次闪电狼兄弟给我的，附带在里面的简体中文语言文件是由六芒星制作的。这个程序有个毛病：就是在列出的可卸载程序上双击查看属性时，弹出的属性窗口的字体非常难看，应该就是系统字体（SYSTEM_FONT）：



因为?SendMessageA?在?USER32.dll?中，我们在右键菜单中点击按钮“添加导入表”，来到下面：



从上图中我们可以看出多出了一个?USER32.dll，这就是我们添加?SendMessageA?的结果。这也是用工具添加的一个缺点。我们一般希望把添加的函数直接放到已存在的?DLL?中，而不是多出来一个，这样显得不好看。但用工具就没办法，LordPE?默认是建一个?1K?的新区段来保存添加后的结果，由此出现了上图中的情况。如果你对?PE?结构比较熟悉的话，也可以直接用?16进制编辑工具来添加你需要的函数，这样改出来的东西好看。如果想偷懒，就像我一样用工具吧，呵呵。在上图中我还标出了要注意?FirstThunk?及那个?ThunkRVA?的值，并且要把“总是查看?FirstThunk”那个选项选上。有人可能不理解其作用，我这里也解释一下：一般讲述?PE?格式的文章中对?FirstThunk?的解释是这样的：FirstThunk?包含指向一个?IMAGE_THUNK_DATA?结构数组的?RVA?偏移地址，当把?PE?文件装载到内存中时，PE装载器将查找?IMAGE_THUNK_DATA?和?IMAGE_IMPORT_BY_NAME?这些结构数组来决定导入函数的地址，随后用导入函数真实地址来替代由?FirstThunk?指向的?IMAGE_THUNK_DATA?数组里的元素值。这样说起来还是让人不明白，我举个例子：比如你有个很要好的朋友，他是个大忙人，虽然你知道他的家庭住址，可他很少回家。如果你哪天想找他，直接去他家，很可能吃个闭门羹，找不到他人。怎么办？幸好你有他的手机号码，你就给他拨了一个电话：“小子，你在哪呢？”，他告诉你：“我正在XXX饭店喝酒呢！”这时你怎么办？（当然是杀到他说的那家饭店去蹭饭了！^_^）这里的?ThunkRVA?就相当于你朋友的手机号码，?SendMessageA?就相当于你那个朋友。而?FirstThunk?就是你手机里的号码分组。你把你的多个朋友都放在?FirstThunk?这样的号码分组里，每个?ThunkRVA?就是你一个朋友的手机号码。你要找他们，就是通过?ThunkRVA?这样的手机号码来和他们联系，直接去他家找他你很可能要碰壁。而移动或联通就相当于操作系统，他们负责把你的手机号码和你的朋友对应上。而?FirstThunk?这样的号码分组还有一个好处就是你可以不记你某个朋友的具体号码，只要记得?FirstThunk?号码分组的值，你的朋友会按顺序在里面排列。比如上图中?USER32.dll?中的第一个函数是?SendMessageA，它的?ThunkRVA?值就是?FirstThunk?值。如果还有第二个函数，比如是?MessageBoxA，它的值就是?FirstThunk?值加上?4，其余类推。你只要记住各个函数的位置，也可以通过?FirstThunk?加上位置对应值来找到它。当然这比不上直接看?ThunkRVA?来得方便。说了上面这些，我们就要考虑怎么在程序中调用了。你可能会说，我在?OllyDBG?中直接在我们要修改的程序中这样调用：CALL?SendMessageA。哦，别这样。这等于我上面说的都是废话，会让我感到伤心的。你这里的?CALL?SendMessageA?就相当于也不跟你朋友打个招呼就直接去他家找他，很有可能你会乘兴而去，败兴而归。别忘了他的手机号码，我们只有通过号码才知道他到底在什么地方。我们应该这样：CALL?DWORD?PTR?[40B01A]，这里的?40B01A?就是上面的?SendMessageA?在程序载入后的所在的地方，由基址?00400000?加上?ThunkRVA?0000B01A?得到的。这就是你要找的人所在的地方，不管他跑到哪，你有他的手机号码就能找到他。同样道理，你只要记住了?ThunkRVA?值，就按这个来调用你需要的函数，在别的?Windows?系统下也是没有问题的。系统会自动把你要找到函数和?ThunkRVA?值对应上。而你在?OllyDBG?中写?CALL?SendMessageA，可能你在你的系统上成功了，可放到别的系统下就要出错了。为什么？因为你找的人已经不在原来的位置了，他跑到别的地方去了。你还到老地方找他，当然看不见人了。说了这么多废话，也不知大家听明白了没有，别越听越糊涂就行了。总之一句话，别像?CALL?SendMessageA?这样直接调用某个函数，而应该通过?ThunkRVA?值来调用它。下面我们回到我们要修改的?MyUninstaller?上来，先用?LordPE?打开看一下，呵呵，原来?CreateFontIndirectA?和?SendMessageA?原程序里面都有了，省了我们不少事情。看一下这两个函数的?ThunkRVA?值，CreateFontIndirectA?在?GDI32.dll?里面，ThunkRVA?值是?0000B044，这样我们就知道在程序中调用它的时候就是?CALL?DWORD?PTR?[0040B044]。同样，SendMessageA?的ThunkRVA?值是?0000B23C，调用时应该是这样：CALL?DWORD?PTR?[0040B23C]。了解了这些东西我们就来考虑怎么写代码了。首先我们来看一下?CreateFontIndirectA?和?SendMessageA?这两个函数的定义：

CreateFontIndirectA：

HFONT?CreateFontIndirect(
CONST?LOGFONT?*lplf?//?pointer?to?logical?font?structure
);
CreateFontIndirect的返回值就是字体的句柄。

对于这个函数我们需要的参数就是给它一个?LOGFONT?的字体结构指针，我们只要在要修改程序的空白处建一个标准的9号（小五）宋体的?LOGFONT?字体结构，再把指针给?CreateFontIndirectA?就可以了。

SendMessageA：

LRESULT?SendMessage(
HWND?hWnd,?//?handle?of?destination?window
UINT?Msg,?//?message?to?send
WPARAM?wParam,?//?first?message?parameter
LPARAM?lParam?//?second?message?parameter
);
上面的第一个参数是窗口句柄，我们知道?CreateWindowExA?返回的就是窗口句柄，我们可以直接拿来用。第二个消息参数我们这里是设置字体，选WM_SETFONT，这个值是?30H。第三个参数是字体句柄，可以由上面的?CreateFontIndirectA?获得。第四个参数我们不需要，留空。现在我们准备开始写代码，首先我们要在程序中建一个标准9号宋体的?LOGFONT，以便于我们调用。对于?LOGFONT，我们再来看一下定义：

typedef?struct?tagLOGFONT?{?//?lf?
LONG?lfHeight;?
LONG?lfWidth;?
LONG?lfEscapement;?
LONG?lfOrientation;?
LONG?lfWeight;?
BYTE?lfItalic;?
BYTE?lfUnderline;?
BYTE?lfStrikeOut;?
BYTE?lfCharSet;?