网络安全编程：C语言逆向之wcslen函数

wsclen函数是用来获取字符串长度的函数，确切地说，是用来获取UNICODE字符串长度的函数，其定义如下：

size_twcslen(constwchar_t*string);

该定义取自MSDN。wcslen()函数的具体用法，这里就不进行介绍了，主要看它的反汇编代码实现。

用OD打开一个自己写的程序，这个程序里用到了UNICODE字符串，也使用了wsclen()函数来计算UNICODE字符串函数的长度，然后在OD中的wsclen()函数处设置断点，运行程序。当程序调用wcslen()函数时，OD会被中断，分别查看OD的反汇编窗口、转存窗口（也称数据窗口）和栈窗口，如图1、图2和图3所示。

图1 反汇编窗口

图2 转存窗口

图3 栈窗口

从图 3 中可以看出，wcslen()函数的参数是“c:\windows\system32\notepad.exe”这个UNICODE字符串。图2中显示了wcslen()函数参数的内存情况。图1是wcslen()函数的反汇编代码。

wcslen()函数的反汇编代码如下：

77C17FCCm>8BFFmovedi,edi
77C17FCE55pushebp
77C17FCF8BECmovebp,esp
77C17FD18B4508moveax,dwordptr[ebp+8]
77C17FD466:8B08movcx,wordptr[eax]
77C17FD740inceax
77C17FD840inceax
77C17FD966:85C9testcx,cx
77C17FDC^75F6jnzshort77C17FD4
77C17FDE2B4508subeax,dwordptr[ebp+8]
77C17FE1D1F8sareax,1
77C17FE348deceax
77C17FE45Dpopebp
77C17FE5C3retn

在OD中使用F8单步到77C17FD4地址处，查看寄存器eax的值。eax的值保存的是wcslen()函数的参数。其实通过“mov eax, dword ptr [ebp + 8]”就能够看出eax被赋值为wcslen()函数的参数值。

77C17FD466:8B08movcx,wordptr[eax]
77C17FD740inceax
77C17FD840inceax

上面3句反汇编代码是eax地址处的2字节的内容赋值给cx寄存器，然后将eax的地址连续加两次1。

77C17FD966:85C9testcx,cx
77C17FDC^75F6jnzshort77C17FD4

上面2句反汇编代码是测试cx中的内容是否为0。UNICODE字符串是以两个0来进行结尾的。如果不为结束的话，说明还没有到UNICODE字符串的结尾，那么就跳转到77C17FD4地址处，再次执行“mov cx, word ptr [eax]”指令。这个循环是逐个遍历UNICODE字符串，直到字符串结束为止。

77C17FDE2B4508subeax,dwordptr[ebp+8]
77C17FE1D1F8sareax,1
77C17FE348deceax

当上面的循环遍历完整个UNICODE字符串后，eax的值指向了字符串结尾的两个0后面的地址位置。因为从77C17FD4到77C17FD8这三个地址处的代码可以看出，该函数是先取字符串中的内容，再修改UNICODE指针的地址。这样当取到字符串的结尾地址后，再修改字符串指针地址，则指针会指向字符串结尾的两个0后面的地址。

在77C17FDE处，将eax的地址（也就是字符串结尾两个0后面的地址）减去字符串的起始地址，就得到字符串所占用的内存字节数。在计算机中，二进制位左移一位，相当于乘2；右移一位，相当于除以2。在77C17FEl中，sar指令是将目的操作数进行右移运算。“sar eax, 1”是将eax中的值除以2，并将结果保存在eax中。字符串用UNICODE方式进行存储，1个字符占用2字节，那么将所占用的内存数除以2也就得到了字符串的字符个数。而“dec eax”的作用是将eax的值减一，将结果保存在eax中。

最后，实现一个wcslen()函数。为了使其看起来像反汇编代码，将其写得稍微复杂些，具体如下：

#defineUNICODE
#define_UNICODE
#include<Windows.h>
#include<stdio.h>
#include<tchar.h>
intMyWcslen(constwchar_t*wText)
{
wchar_t*wpChar=(wchar_t*)wText;
wchar_twChar;
intiNum=0;
do
{
wChar=*wpChar;
wpChar+=1;
}while(wChar!=0);
iNum=(BYTE*)wpChar-(BYTE*)wText;
iNum/=2;
iNum--;
returniNum;
}
intmain()
{
wchar_t*wText=_TEXT("helloworld");
printf("%d\r\n",wcslen(wText));
printf("%d\r\n",MyWcslen(wText));
return0;
}