0x01 fwrite 函数

  • 函数原型: size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream)
  • 函数功能:把 ptr 所指向的数组中的数据写入到给定流 stream
  • 动态链接库:ucrtbased.dll
  • C\C++ 实现:
#define _CRT_SECURE_NO_WARNINGS // 用于排除安全限制

#include <stdio.h>

#include <string.h>

int main()

{

	FILE* fp;

	char c[] = "This is runoob";

	char buffer[20];

	/* 打开文件用于读写 */

	fp = fopen("D:\\1.txt", "w+");

	/* 写入数据到文件 */

	fwrite(c, strlen(c) + 1, 1, fp);

	/* 查找文件的开头 */

	fseek(fp, 0, SEEK_SET);

	/* 读取并显示数据 */

	fread(buffer, strlen(c) + 1, 1, fp);

	printf("%s\n", buffer);

	fclose(fp);

	return(0);

}
  • 上述程序主要的功能就是打开路径为 D:\1.txt 文件,之后将字符串 This is runoob 写入文件后,再读取。运行结果如下图所示:

  • 调试工具:x32dbg
  • 逆向分析:要分析 fwrite 函数首先需要定位函数的位置,由于这个程序比较简单,所以直接定位 main 函数即可。如下图所示通过直接定位字符串 This is runoob 就可以找出 main 函数的位置

  • main 函数中看出有几个重要的 API 函数,例如:fopen、strlen、fwrite、fread 这几个函数



  • 而本次分析的是 fwrite 函数,因此直接定位到该函数,传入的参数如下图注释所示。需要注意的是字符串的长度是通过上面的 strlen 函数获取的,而文件的句柄是通过 fopen 函数获得的

  • 进入 fwrite 函数进行分析。首先会对传入的参数进行过滤(这也是一些 API 函数的通用流程),判断传入的字符串、文件句柄、元素的个数是否为 0,也就是是否存在的意思。如果有一个条件不符合就会调用 ucrtbased._CrtDbgReportW 函数做错误处理或直接清空 eax 返回

  • 继续向下调试,发现会调用 ucrtbased.sub_F538CD0 函数,这个函数的功能比较简单,就是将传入 fwrite 的参数赋值到 [ebp-18] 这个局部变量当中,为了方便起见将这个局部变量取名为 fileinfo,而且根据赋值的特征,这个 fileinfo 很有可能是一个结构体

  • 紧接着调用 ucrtbased.sub_F53DF10 函数,压入的第一个参数为文件的句柄(fopen 函数的返回值,类型为 FILE),第二个参数为 fileinfo 结构体

  • 进入 ucrtbased.sub_F53DF10 函数,可以看出这个函数调用了三个子函数。第一个函数 ucrtbased.sub_F51F4C0 的功能是将传入的参数一(文件句柄)放入局部变量 [ebp-8] 中,第二个参数 ucrtbased.sub_F51F4C0 的功能是将文件句柄赋值到局部变量 [ebp-c] 当中去。之后压入 [ebp-8] 后调用 ucrtbased.sub_F53DE80 函数,需要注意的是,这里还有一个局部变量 [ebp-1],通过 ecx 传入的

  • 进入 ucrtbased.sub_F53DE80 函数,发现这个函数会调用 4 个子函数,第一个函数 ucrtbased.sub_F538D10 的功能是调用 _lock_file API 函数来锁住文件,为的是为接下来写入文件做铺垫,而传入 ucrtbased.sub_F53DE80 函数的参数是通过 [ebp+8] 来获取的,也就是文件句柄



  • 既然通过了 _lock_file 来锁住文件那么之后肯定需要解锁文件,解锁文件的系统 API 函数是 _unlock_file,由该函数中的 ucrtbased.sub_F538D30 函数调用



  • ucrtbased.sub_F53DF50 函数才是实现 fwrite 功能的核心函数,传入此函数的参数如下图中的注释所示

  • ucrtbased.sub_F53DF50 函数中调用了 3 个子函数

  • 第一个函数 ucrtbased.sub_F53AF70 ,主要功能是判断文件描述符是否于指定设备想关联

  • 主要用到了 _fileno_isatty 两个 API 来判断,如果未关联就返回 _isatty 的返回值,如果没有就做一些处理,由于处理涉及调式和未调试的区别,比较复杂,所以不多述

  • 进行完设备关联判断之后,调用 _fwrite_nolock 这个 API 函数将传入的字符串写入规定的文件流,传入的参数如图所示,返回值储存在 [ebp-8]

  • 最后看一下 ucrtbased.sub_F53AFA0 函数

  • 在这个函数内部首先会判断传入的第一个参数是否为 0,根据实际的运行流程在 test ecx,ecx 命令判断之后直接实现了跳转,函数直接返回了。为了详细的了解程序,还是看了一下这几个函数都调用了哪些 API 函数,经过查找后发现在 ucrtbased.sub_F539070 函数中调用了 _fileno_write,这个和上面处理的流程还是蛮类似的

  • 最后函数返回,返回值就是 _fwrite_nolock 函数的返回值







  • 最后完成对 fwrite 函数的调用

  • 函数运行流程:开始->参数过滤->_lock_file->_file_no->_isatty->_fwrite_nolock->unlock_file->结束

逆向 stdio.h 库的 fwrite 函数到此结束,如有错误,欢迎指正

逆向 stdio.h 函数库 fwrite 函数(调试版本)的更多相关文章

  1. 逆向 stdio.h 函数库 fseek 函数(调试版本)

    0x01 fseek 函数 函数原型:int fseek(FILE *stream, long int offset, int whence) 函数功能:设置流 stream 的文件位置为给定的偏移 ...

  2. 逆向 stdio.h 函数库 fopen 函数(调试版本)

    0x01 fopen 函数 函数原型:FILE *fopen(const char *filename, const char *mode) 返回值为 FILE 类型 函数功能:使用给定的模式 mod ...

  3. 走进C标准库(2)——"stdio.h"中的fopen函数

    其他的库文件看起来没有什么实现层面的知识可以探究的,所以,直接来看stdio.h. 1.茶余饭后的杂谈,有趣的历史 在过去的几十年中,独立于设备的输入输出模型得到了飞速的发展,标准C从这个改善的模型中 ...

  4. fopen函数和fread函数、fwrite函数

    fopen(打开文件) 相关函数 open,fclose 表头文件 #include<stdio.h> 定义函数 FILE * fopen(const char * path,const ...

  5. 【转】fread函数和fwrite函数

    1.函数功能   用来读写一个数据块. 2.一般调用形式   fread(buffer,size,count,fp);   fwrite(buffer,size,count,fp); 3.说明   ( ...

  6. strtok()函数、fseek()函数、fwrite()函数、fread()函数的使用

    在电子词典这个项目过程中遇到了几个主要的问题,第一个是怎么解决把翻译分开这个.第二个事情就是怎么把结构体写到文件中.这两个问题,一个是关于字符串的操作一个是关于文件的操作. strtok函数 char ...

  7. fread函数和fwrite函数

    1.函数功能   用来读写一个数据块. 2.一般调用形式   fread(buffer,size,count,fp);   fwrite(buffer,size,count,fp); 3.说明   ( ...

  8. python函数库及函数标准库

    一.系统库提供的内部函数 字符函数库: 1)str.islower() :字符串是否全部是小写 2)str.isspace() :字符串是否为空 3)help(str):查询字符串函数库 4)str. ...

  9. C函数库stdio.h概况

    库变量 size_t    这是无符号整数类型,它是 sizeof 关键字的结果. FILE      这是一个适合存储文件流信息的对象类型. fpos_t   这是一个适合存储文件中任何位置的对象类 ...

随机推荐

  1. windows基线检测脚本编写指南-powershell版

    前言:   因为工作的原因,要写windows下的基线检查脚本.之前没接触过,在网上找了半天也没找到现成的,无奈只好自己研究,最后还是成功完成了工作. 在我编写之后发现windows下的基线基本就是检 ...

  2. Java基础:特性write once;run anywhere!

    三高:高可用 高性能 高并发 特性: 简单性 面向对象:万物皆为对象 可移植性 高性能 分布式 动态性 多线程 安全性 健壮性 Java三大版本 javaSE:标准版(桌面程序,控制台) javaME ...

  3. C#开发BIMFACE系列35 服务端API之模型对比6:获取模型构建对比分类树

    系列目录     [已更新最新开发文章,点击查看详细] BIMFACE平台提供了服务端"获取模型对比构件分类树"API.目录树返回结果以树状层级关系显示了增删改的构件信息,里面无法 ...

  4. 最新版Swagger 3升级指南和新功能体验!

    Swagger 3.0 发布已经有一段时间了,它于 2020.7 月 发布,但目前市面上使用的主流版本还是 Swagger 2.X 版本和少量的 1.X 版本,然而作为一名合格的程序员怎么能不折腾新技 ...

  5. 浅谈意图识别各种实现&数学原理

    \[ J_\alpha(x) = \sum_{m=0}^\infty \frac{(-1)^m}{m! \Gamma (m + \alpha + 1)} {\left({ \frac{x}{2} }\ ...

  6. for what? while 与 until 差在哪?-- Shell十三问<第十三问>

    for what? while 与 until 差在哪?-- Shell十三问<第十三问> 最后要介绍的是 shell script 设计中常见的"循环"(loop). ...

  7. ffmpeg第五篇:让水印图片旋转起来

    这篇把上次挖的坑填上 ffmpeg正式篇的上一篇(传送门)说了,这一篇要让水印旋转起来,但是后面有事情一直没有时间搞,今天,它来了............ 如果想实现旋转的功能,需要使用ffmpeg过 ...

  8. A. 【例题1】奶牛晒衣服

    A . [ 例 题 1 ] 奶 牛 晒 衣 服 A. [例题1]奶牛晒衣服 A.[例题1]奶牛晒衣服 关于很水的题解 既然是最少时间,那么就是由最湿的衣服来决定的.那么考虑烘干机对最湿的衣服进行操作 ...

  9. 开源服务器设计总计(plain framework2020年总计)

    2020年注定会被历史铭记,世界遭受着一场前所未有的灾难,这种灾难到现在还在持续.还记得19年末的时候,那时候听到一点点消息,哪里想得到年关难过,灾难来的让人猝不及防.由于疫情防控,2020年感觉转瞬 ...

  10. 如何在IDEA中进行时序图分析

    方法一: 使用插件 SequenceDiagram (系统自动生成) 使用方法: 下载插件,我们可以在 Plugins 中找到 选中线程方法名,然后右键就可以创建此方法的时序图了 参数设置 生成效果以 ...