[विकास] अज्ञात तर्कों के साथ फ़ंक्शन इंटरसेप्टर

यह सिर्फ इतना हुआ कि मुझे समय-समय पर विभिन्न प्रकार की उपयोगिताओं के विषय पर MMO गेम के ग्राहकों का विश्लेषण करने या कुछ गेम पहलुओं की कार्रवाई के बारे में जानकारी प्राप्त करने में मज़ा आता है। ज्यादातर जानकारी IDA Pro या OllyDbg में क्लाइंट पार्सिंग से आती है।

चूँकि मुझे इस क्रिया में अधिक अनुभव नहीं है, इसलिए मैं आमतौर पर एक समारोह को एक ट्रिट तरीके से लेता हूं, एक dll इंटरसेप्टर लिखता हूं और इंटरसेप्शन के दौरान प्राप्त फ़ंक्शन के तर्कों का विश्लेषण करता हूं।

दुर्भाग्य से, यहां तक ​​कि एक आईडीए भी आदर्श नहीं है - फ़ंक्शन के तर्क प्राप्त करना जो सच है अक्सर समस्याग्रस्त होता है (सबसे सरल उदाहरण है लूवा फ़ंक्शन, lua_state को इडा द्वारा इंट के रूप में परिभाषित किया गया है)। और, जैसा कि ग्राहक इसका विश्लेषण करते हैं, डीएल कभी-कभी केवल एक अश्लील राशि के कार्यों, उनकी घोषणाओं और विवरणों के साथ बढ़ता है, और अन्य अच्छे भी होते हैं। नतीजतन, हमें किलोमीटर के कोड मिलते हैं।

लेकिन सुंदरता का पीछा हम में से अधिकांश में रहता है - इसलिए इस कोड को किसी भी तरह से "टैम्प" करने की इच्छा है, ताकि इसे अधिक पठनीय बनाया जा सके। उदाहरण के लिए, डीएल लिखते समय, मैं मैक्रोज़, क्षेत्रों का उपयोग करना पसंद करता हूं, संभवतः एक ही प्रकार के कार्यों की संख्या को कम करता है, आदि।

और इतना समय पहले नहीं, मुझे 1 मैक्रो में फ़ंक्शन, चर और अन्य अच्छाई की घोषणाओं और विवरणों को संपीड़ित करके कोड को और भी अधिक संपीड़ित करने का विचार मिला। आदर्श रूप से, किसी फ़ाइल में इंटरसेप्टेड फ़ंक्शन की तर्क सूची को छोड़ दें। फिलहाल, मैंने __cdecl फ़ंक्शंस के लिए एक अपेक्षाकृत सार्वभौमिक इंटरसेप्टर लिखा है (चूंकि इस क्षेत्र में ज्ञान का स्तर मेरे लिए बहुत अधिक नहीं है, मैं मान सकता हूं कि यह केवल विंडोज x86 के लिए पर्याप्त रूप से काम करेगा, शायद कुछ अन्य सीमाएं हैं)। अवरोधन के लिए, मैं आमतौर पर डेट्रॉएज़ x86 का उपयोग करता हूं, कभी-कभी एक साधारण एनालॉग।

वास्तव में, कोड:

#define cdecl_hook(name1)\ /*Macro definition*/ void name1##_hook(int a1, ...)\ /*Declare hooker*/ {\ int check_s = 0;\ __asm{mov check_s, esp}\ /*Save esp state*/ int *ptr = &a1;\ /*Get pointer to 1st arg, equialent of va_list*/ debug_msg("Advanced",true,"--%s arg list started--", __FUNCTION__);\ /*debug_msg() - vfprintf wrapper*/ for(int i=0; i*4<name1##_arg_amount; i++)\ {\ debug_msg("Advanced",true," |---Element %d: %d", i, ptr[i]);\ }\ /*Arg list -> file(Advanced.txt)*/ debug_msg("Advanced",true,"--arg list finished--\n");\ __asm{lea ecx, a1}\ /*Move addr of a1 to ecx*/ __asm{mov eax, name1##_arg_amount}\ /*move size of args in stack(can get from IDA, for ex.) to eax*/ __asm{label_loop: }\ /*Start loop*/ __asm{mov ebx, dword ptr[ecx+eax-4]}\ /*Move args from stack to ebx in loop and push ebx*/ __asm{push ebx}\ __asm{sub eax,4}\ __asm{cmp eax,0}\ __asm{jg label_loop}\ __asm{call dword ptr[name1##_Detour]}\ /*Call original function*/ __asm{mov esp, check_s}\ /*Restore stack, same as __asm{add esp, name1##_arg_amount}*/ }\ 

 #define RF_O_UP_FUNC(name1, address, args)\ /*Define needed functions and variables*/ typedef void (* t##name1 ) ();\ /*__declspec(dllexport) */t##name1 name1##_Detour = ( t##name1 ) ( address );\ /*Define original function and bind to addr*/ void name1##_hook(int a1, ...);\ /*Define hooker*/ int name1##_arg_amount = args;\ /*Summary size of args in stack, can get from IDA*/ cdecl_hook(name1); /*Call hooker definition*/ 

खैर, वास्तव में, यह सब सामान घोषित करने का एक उदाहरण:

 RF_O_UP_FUNC(resources, 0x687054, 0x4C); RF_O_UP_FUNC(hooker, 0x17E4D18, 7); RF_O_UP_FUNC(begin, 0x689BA0, 5); 

इसलिए, 1 पंक्ति के साथ हम एक इंटरसेप्टर फ़ंक्शन की घोषणा करते हैं, यह दर्शाते हैं कि कौन सा फ़ंक्शन और किस पते पर हम इंटरसेप्ट करना चाहते हैं, और यह भी कि इंटरसेप्ट करते समय, हमें तर्कों की एक सूची मिलती है (इस उदाहरण में, सभी तर्कों को फ़ाइल के लिए लिखा जाएगा। आप मैक्रो में प्रारूप जोड़ सकते हैं)।

फिर सब कुछ सरल है - अगर हम डेट्रोइट का उपयोग करते हैं, तो लगाव कुछ इस तरह दिखाई देगा:
DetourAttach(&(PVOID&)resources_Detour, resources_hook).

बाकी, सिद्धांत रूप में, कोई स्पष्टीकरण नहीं चाहिए।

तर्क आउटपुट उदाहरण:

 --resources_hook arg list started-- |---Element 0: 204181 |---Element 1: 204181 |---Element 2: 1277574 |---Element 3: 1363294854 |---Element 4: 1 |---Element 5: 0 |---Element 6: 0 |---Element 7: 0 |---Element 8: 0 |---Element 9: 0 |---Element 10: 0 |---Element 11: 0 |---Element 12: 0 |---Element 13: 0 |---Element 14: 0 |---Element 15: 0 |---Element 16: 1 |---Element 17: 100 |---Element 18: 1 --arg list finished-- 

कुल मिलाकर, छोटे मैक्रो की एक जोड़ी की मदद से, हमें कोड को अच्छी तरह से प्राप्त करने का अवसर मिला।
नुकसान:
1) वर्तमान में __stdcall, __thiscall और अन्य कॉलिंग सम्मेलनों के साथ काम नहीं करता है। मैं इस मामले में मदद या सलाह से इनकार नहीं करूंगा।
2) जैसा कि मैंने पहले ही उल्लेख किया है, इस मामले में अनुभव काफी छोटा है, इसलिए अच्छी तरह से जाम हो सकता है कि मैंने ध्यान नहीं दिया, इसलिए कृपया अधिक ट्रोल न करें।
3) मुझे एनालॉग्स नहीं मिले, लेकिन इसका मतलब यह नहीं है कि अधिक पर्याप्त तरीके नहीं हैं / वर्तमान को अनुकूलित करना असंभव है। इस विषय पर टिप्पणियों का भी स्वागत किया जाएगा।

आपका ध्यान के लिए धन्यवाद!