我需要解决本机进程的逆向工程问题。我有非托管的.exe,上面有一些控件(例如TextBox、Buttons、TextAreas、ComboBoxes)。在控件上填写所有数据后,用户将按“打开”。
实际上它会打开调制解调器端口并发送 AT 命令。我想检查数据的格式以及它将发送到调制解调器 COM 端口的消息。
因此,我需要如何对流程进行逆向工程并挂钩功能(很可能是“打开”调制解调器端口的功能,当用户单击“打开”时,它将被调用)。
建议??我的方向是对的,我是否需要挂钩它的功能,然后注入后,我的目标就会实现。
未检测到 EXPORTED 函数。为此,我使用了 CFF/PE Explorer。
问候乌斯曼
我看到了两种可能性。一种是将监视器连接到 com 端口,然后看看那里出现了什么。这完全避免了代码的 RE,并且通常会更快更容易。
[编辑:这有两种形式:一种是硬件——连接到 COM 端口硬件的逻辑分析仪(或类似的东西)。它解码并显示通过线路的串行数据流。另一种形式是使用 IAT 连接到调用WriteFile并显示打开了哪些文件以及写入每个文件的数据的软件。Microsoft Detours库可以对此有所帮助。]
如果你决定重新编写代码,你可能需要一个像样的反汇编程序,比如 IDAPro。您可能能够从调用CreateFile和的位置开始找到处理 COM 端口的部分WriteFile(假设您正在处理 Win32,基于“PE”的提及)。您可能会在某处将“\\.\COM”(或至少“COM”)之类的内容作为文字字符串,并且您会希望找到CreateFile使用该字符串(或它的副本)的调用。
从那里,您必须向后工作以找到将实际写入 COM 端口的字符串组合在一起的代码。很难猜测这会有多复杂。
OllyDbg 可以帮助您。您还需要一些汇编语言和调用约定的基本知识。当然还有安装拦截器功能的原理(绕道)。