printf如何导致字符串损坏?
我正在尝试逆向工程一个我没有源代码的函数,而且这个函数还受到反调试保护。
总之,我对调用的汇编中的函数 PyRun_ConsoleString 感兴趣:
CPU Disasm
Address Hex dump Command Comments
200DAB20 /$ 68 D8961A20 PUSH OFFSET 201A96D8 ; ASCII "__main__"
200DAB25 |. FF15 B0331720 CALL DWORD PTR DS:[<&vampire_python21.PyImport_AddModule>]
200DAB2B |. 83C4 04 ADD ESP,4
200DAB2E |. 85C0 TEST EAX,EAX
200DAB30 |. 74 4C JE SHORT 200DAB7E
200DAB32 |. 50 PUSH EAX
200DAB33 |. FF15 8C331720 CALL DWORD PTR DS:[<&vampire_python21.PyModule_GetDict>]
200DAB39 |. 50 PUSH EAX
200DAB3A |. 50 PUSH EAX
200DAB3B |. 8B4424 10 MOV EAX,DWORD PTR SS:[ESP+10]
200DAB3F |. 68 00010000 PUSH 100
200DAB44 |. 50 PUSH EAX
200DAB45 |. FF15 90331720 CALL DWORD PTR DS:[<&vampire_python21.PyRun_ConsoleString>]
200DAB4B |. 83C4 14 ADD ESP,14
200DAB4E |. 85C0 TEST EAX,EAX
200DAB50 |. 75 08 JNE SHORT 200DAB5A
200DAB52 |. FF15 94331720 CALL DWORD PTR DS:[<&vampire_python21.PyErr_Print>]
200DAB58 |.- EB 1E JMP SHORT <JMP.&vampire_python21.Py_FlushConsoleOutput> ; Jump to vampire_python21.Py_FlushConsoleOutput
200DAB5A |> FF08 DEC DWORD PTR DS:[EAX]
200DAB5C |. 75 0A JNE SHORT 200DAB68
200DAB5E |. 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
200DAB61 |. 50 PUSH EAX
200DAB62 |. FF51 18 CALL DWORD PTR DS:[ECX+18]
200DAB65 |. 83C4 04 ADD ESP,4
200DAB68 |> FF15 98331720 CALL DWORD PTR DS:[<&vampire_python21.Py_FlushLine>]
200DAB6E |. 85C0 TEST EAX,EAX
200DAB70 |.- 74 06 JE SHORT <JMP.&vampire_python21.Py_FlushConsoleOutput> ; Jump to vampire_python21.Py_FlushConsoleOutput
200DAB72 |. FF15 9C331720 CALL DWORD PTR DS:[<&vampire_python21.PyErr_Clear>]
200DAB78 |>- FF25 BC331720 JMP DWORD PTR DS:[<&vampire_python21.Py_FlushConsoleOutput>]
200DAB7E \> C3 RETN
所以我认为这个函数的参数类型应该很明确,可能是某种变体,像这样:
int (const char*, int /这个值总是256,并且与这些Python方法中的常量匹配/, PyObject * /*返回的字典对象*/, PyObject *)
但是每当我尝试将这些假定的 pyObjects 作为 pyobject 访问(或者处理)时,程序就崩溃了,也就是说,像这样打印它们:
printf("%s\n", PyString_AsString(PyObject_Str(pyobj)));
所以我想打印这个字符串(我知道它是字符串,因为它来自一个文件)。
__declspec (dllexport) int PyRun_ConsoleString(const char *str, int typeOfExpression, PyObject * globals, PyObject * locals){
printf("%s\n", str);
fflush(stdout);
return 0;
}
printf("%s\n",str) 打印出预期的字符串 'qwerty "what"',这没问题,它确实是文件中的内容。
但是 printf("%s 1 \n", str) 打印出 ' 1 rty "what"' ?!?
如果能帮我找到返回值的类型,我会非常感激。相关的汇编代码是:
CPU Disasm
Address Hex dump Command Comments
1E153160 /$ 8B4424 10 MOV EAX,DWORD PTR SS:[ARG.4]
1E153164 |. 8B4C24 0C MOV ECX,DWORD PTR SS:[ARG.3]
1E153168 |. 8B5424 08 MOV EDX,DWORD PTR SS:[ARG.2]
1E15316C |. 6A 00 PUSH 0
1E15316E |. 50 PUSH EAX
1E15316F |. 8B4424 0C MOV EAX,DWORD PTR SS:[ARG.1]
1E153173 |. 51 PUSH ECX
1E153174 |. 68 B825191E PUSH OFFSET 1E1925B8 ; ASCII "<string>"
1E153179 |. 52 PUSH EDX ; /Arg2 => [ARG.2]
1E15317A |. 50 PUSH EAX ; |Arg1 => [ARG.1]
1E15317B |. E8 D0030000 CALL PyParser_SimpleParseConsoleString ; \vampire_python21_backup.PyParser_SimpleParseConsoleString
1E153180 |. 83C4 08 ADD ESP,8
1E153183 |. 50 PUSH EAX
1E153184 |. E8 37010000 CALL 1E1532C0
1E153189 |. 83C4 14 ADD ESP,14
1E15318C \. C3 RETN
不过我怀疑这个值是来自一个子函数。
1 个回答
1
嗯,这是个有趣的难题。
顺便说一下:
当你用printf("%s 1 \n", str)打印的时候,输出是' 1 rty "what"' ?!?
...看起来你在控制台上看到的内容是这样的,对吧?
其实是:
qwerty "what"
然后是一个回车(没有换行),被下面的内容覆盖:
' 1 '
接着是\n
这说明你提供的字符串(可能是从文件里来的?)包含了一个结束的回车符。