对Gary Nebbet的经典自我删除代码的读后心得

 

对Gary Nebbet的经典自我删除代码的读后心得

LionD8 随笔 2004-3-14 QQ:10415468

以下是Gary Nebbet的经典源码

#include "windows.h"

void main(int argc, char *argv[])

{

HMODULE module = GetModuleHandle(0);

CHAR buf[MAX_PATH];

GetModuleFileName(module, buf, sizeof(buf));

CloseHandle((HANDLE)4);

__asm

{

lea eax, buf

push 0

push 0

push eax

push ExitProcess

push module

push DeleteFile

push UnmapViewOfFile

ret

}

}

代码的前3排就不说了。从CloseHandle((HANDLE)4)开始讲起。

在网上查找了很多资料查到HANDLE4是OS的硬编码，CloseHandle((HANDLE)4)用于关闭文件语柄。

要删除一个文件必须要删除打开文件的语柄，如果有文件语柄打开将会失败。在上面已经关闭了。

下面重点分析 __asm ｛ ｝ 里面的内容。

经过一连串的PUSH过后。 堆栈里面的内容形成了这样的形式。

以下是在WIN2000 SP3 VC6.0下测试结果。

ESP         栈内的值     栈内地址

0012FE28     0           0012FE28

0012FE24     0           0012FE24

0012FE20    0012FE78     0012FE20 文件全路径

0012FE1C    77E7CF5C     0012FE1C ExitProcess入口

0012FE18    00040000     0012FE18 module的值

0012FE14    77E6E3A6     0012FE14 DeleteFile入口

0012FE10    77E6D2BD     0012FE10 UnmapViewOfFile

接下来就RET我们知道RET是在函数返回的时候调用的。它的功能就是从当前的ESP指向的堆栈中取出函数的返回地址。对于上面的代码来说现在的ESP=0012FE10,现在取出栈地址0012FE10里面的值77E6D2BD，然后跳转到77E6D2BD，这就到了UnmapViewOfFile的函数入口。为什么0012FE10后面是DeleteFile?参数module为什么又到了0012FE18这些以后我们马上解决。

我们先自己编写一个代码

void main ()

{

UnmapViewOfFile(NULL);

}

然后反汇编看看汇编命令是怎么的。如下:

6: UnmapViewOfFile(NULL);

00401028 mov esi,esp

0040102A push 0

0040102C call dword ptr [__imp__UnmapViewOfFile@4 (004241ac)]

00401032 cmp esi,esp

首先是参数0入栈，然后我们追到[__imp__UnmapViewOfFile@4 (004241ac)]

里面去。看看现在的栈是什么样子的。如下:

栈内地址     栈内值

0012FF30     0         参数

0012FF2C     00401032  返回地址

00401032是CALL函数系统帮我们入栈的我们并没有手工添加。但是对于RET我们在转移到UnmapViewOfFile入口的时候并没有一个返回地址的入栈，也就是说push DeleteFile就成了UnmapViewOfFile函数的返回地址。再上面push module才是UnmapViewOfFile的参数。有一点烦琐好好想一想。好的当我们的UnmapViewOfFile函数调用完毕，现在EIP已经到了77E6E3A6,DeleteFile入口。

但是ESP现在在什么位置？应该在0012FE1C栈内的值为77E7CF5C，同样的道理

在DeleteFile返回后程序应该跳转到77E7CF5C也就是ExitProcess的入口。

那么(0012FE1C+4)才是DeleteFile的参数。也就是0012FE78。PUSH EAX。

当我们的DeleteFile返回的时候，程序跳转到了77E7CF5C，ExitProcess的入口。现在的ESP＝0012FE24。一样的道理

PUSH 0 这个是ExitProcess的参数

PUSH 0 这个是ExitProcess的返回地址

由于ExitProcess还没有返回进程就结束了 所以ExitProcess的返回地址是0也不会发生内存错误。

参考文献:

Gary Nebbet的经典源码

以上是本人的一点个人愚见希望对您有所帮助。如果有什么意见，更好的见解欢迎与本人讨论。

=====================

www.rohu.com

虎盟网络安全小组

本文地址：http://com.8s8s.com/it/it26334.htm