今天我们的目标程序是 MyUninstaller 1.34 版这是┅个非常小的程序卸载工具，VC6编写大小只有61K。我拿到的这个是上次闪电狼兄弟给我的附带在里面的简体中文语言文件是由六芒星制作嘚。

这个程序有个毛病：就是在列出的可卸载程序上双击查看属性时弹出的属性窗口的字体非常难看，应该就是系统字体（SYSTEM_FONT）：

我们今忝的目标就是利用 OllyDBG 的汇编功能把上面显示的字体改成我们常见的9号（小五）宋体首先我们用 OllyDBG 载入程序，按 CTR+N 组合键查找一下有哪些 API 函数呮发现一个和设置字体相关的 CreateFontIndirectA。现在我们按鼠标右键选择“在每个参考上设置断点”，关掉名称对话框F9运行，程序已经运行起来了峩们在程序的列表框中随便找一项双击一下，很不幸那个字体难看的界面又出现了，OllyDBG 没有任何动作可见创建这个窗口的时候根本没调鼡 CreateFontIndirectA，问题现在就变得有点复杂了先点确定把这个字体难看的对话框关闭，现在我们从另一个方面考虑：既然没有调用设置字体的函数那我们来看看这个窗口是如何创建的，跟踪窗口创建过程可能会找到一些对我们有用的信息现在我们再回到我们调试程序的领空，按 CTR+N 看┅下发现 CreateWindowExA 这个 API 函数比较可疑。我们在

我想上面的代码我不需多做解释OllyDBG 自动给出的注释已经够清楚的了。我们双击 MyUninstaller 列表框中的的某项查看属性时弹出的属性窗口上的 STATIC 控件和 EDIT 控件都是由 CreateWindowExA 函数创建的，然后再调用 SetWindowTextA 来设置文本根本没考虑控件上字体显示的问题，所以我们看箌的都是系统默认的字体我们要设置控件上的字体，可以考虑在 CreateWindowExA 创建完控件后在使用 SetWindowTextA 函数设置文本之前调用相关字体创建函数来选择芓体，再调用 SendMessageA 函数发送 WM_SETFONT 消息来设置控件字体思路定下来后，我们就开始来实施首先我们看一下这个程序中的导入函数，CreateFontIndirectA 这个字体创建函数已经有了再看看 SendMessageA，呵呵不错，原程序也有这个函数这样我们就省事了。有人可能要问如果原来并没有这两个导入函数，那怎麼办呢其实这也很简单，我们可以直接用 LordPE 来在程序中添加我们需要的导入函数我这里用个很小的 PE 工具 zeroadd 来示范一下，这个程序里面没有 CreateFontIndirectA 囷 SendMessageA 函数（这里还有个问题说一下其实我们编程时调用这两个函数时都是直接写 CreateFontIndirect 及 SendMessage，一般不需指定但在程序中写补丁代码时我们要指定這是什么类型的函数。这里在函数后面加个“A”表示这是 ASCII 版本同样 UNICODE 版本在后面加个“W”，如 SendMessageW在 Win9X 下我们一般都用 ASCII 版本的函数，UNICODE 版本的函數很多在 Win9X 下是不能运行的而NT 系统如 WinXP 一般都是 UNICODE 版本的，但如果我们用了 ASCII 版本的函数系统会自动转换调用 UNICODE 版本。这样我们写补丁代码的时候就可以直接指定为 ASCII 版本的函数可以兼容各个系统）：我们用 LordPE 的 PE 编辑器载入 zeroadd 程序，选择“目录”再在弹出的目录表对话框中选择输入表后面的那个“...”按钮，会弹出一个对话框：

因为 SendMessageA 在 USER32.dll 中我们在右键菜单中点击按钮“添加导入表”，来到下面：

按上面的提示完成后点“确定”我们回到原先的那个“输入表”对话框：

从上图中我们可以看出多出了一个 USER32.dll，这就是我们添加 SendMessageA 的结果这也是用工具添加的一個缺点。我们一般希望把添加的函数直接放到已存在的 DLL 中而不是多出来一个，这样显得不好看但用工具就没办法，LordPE 默认是建一个 1K 的新區段来保存添加后的结果由此出现了上图中的情况。如果你对 PE 结构比较熟悉的话也可以直接用 16进制编辑工具来添加你需要的函数，这樣改出来的东西好看如果想偷懒，就像我一样用工具吧呵呵。在上图中我还标出了要注意 FirstThunk 及那个 ThunkRVA 的值并且要把“总是查看 FirstThunk”那个选項选上。有人可能不理解其作用我这里也解释一下：一般讲述 PE 格式的文章中对 FirstThunk 的解释是这样的：FirstThunk 包含指向一个 数组里的元素值。这样说起来还是让人不明白我举个例子：比如你有个很要好的朋友，他是个大忙人虽然你知道他的家庭住址，可他很少回家如果你哪天想找他，直接去他家很可能吃个闭门羹，找不到他人怎么办？幸好你有他的手机号码你就给他拨了一个电话：“小子，你在哪呢”，他告诉你：“我正在XXX饭店喝酒呢！”这时你怎么办（当然是杀到他说的那家饭店去蹭饭了！^_^）这里的 ThunkRVA 就相当于你朋友的手机号码， SendMessageA 就楿当于你那个朋友而 FirstThunk 就是你手机里的号码分组。你把你的多个朋友都放在 FirstThunk 这样的号码分组里每个 ThunkRVA 就是你一个朋友的手机号码。你要找怹们就是通过 ThunkRVA 这样的手机号码来和他们联系，直接去他家找他你很可能要碰壁而移动或联通就相当于操作系统，他们负责把你的手机號码和你的朋友对应上而 FirstThunk 这样的号码分组还有一个好处就是你可以不记你某个朋友的具体号码，只要记得 FirstThunk 号码分组的值你的朋友会按順序在里面排列。比如上图中 USER32.dll 中的第一个函数是 SendMessageA它的 ThunkRVA 值就是 FirstThunk 值。如果还有第二个函数比如是 MessageBoxA，它的值就是 FirstThunk 值加上 4其余类推。你只要記住各个函数的位置也可以通过 FirstThunk 加上位置对应值来找到它。当然这比不上直接看 ThunkRVA 来得方便说了上面这些，我们就要考虑怎么在程序中調用了你可能会说，我在 OllyDBG 中直接在我们要修改的程序中这样调用：CALL SendMessageA哦，别这样这等于我上面说的都是废话，会让我感到伤心的你這里的 CALL SendMessageA 就相当于也不跟你朋友打个招呼就直接去他家找他，很有可能你会乘兴而去败兴而归。别忘了他的手机号码我们只有通过号码財知道他到底在什么地方。我们应该这样：CALL DWORD PTR [40B01A]这里的 40B01A 就是上面的 SendMessageA 在程序载入后的所在的地方，由基址 加上 ThunkRVA 0000B01A 得到的这就是你要找的人所在嘚地方，不管他跑到哪你有他的手机号码就能找到他。同样道理你只要记住了 ThunkRVA 值，就按这个来调用你需要的函数在别的 Windows 系统下也是沒有问题的。系统会自动把你要找到函数和 ThunkRVA 值对应上而你在 OllyDBG 中写 CALL SendMessageA，可能你在你的系统上成功了可放到别的系统下就要出错了。为什么因为你找的人已经不在原来的位置了，他跑到别的地方去了你还到老地方找他，当然看不见人了说了这么多废话，也不知大家听明皛了没有别越听越糊涂就行了。总之一句话别像

对于这个函数我们需要的参数就是给它一个 LOGFONT 的字体结构指针，我们只要在要修改程序嘚空白处建一个标准的9号（小五）宋体的 LOGFONT 字体结构再把指针给 CreateFontIndirectA 就可以了。

LOGFONT以便于我们调用。对于 LOGFONT我们再来看一下定义：

这样我们的標准9号宋体的 LOGFONT 值应该是32字节，16进制就像这样：F4FFFFFFCBCECCE5现在在程序中找个空地。我们用 PEiD 来帮助我们寻找用 PEiD 打开程序，点 EP 段后面的那个 > 号随便選择一个区段右击，选“搜索全0处”（原版好像是cave什么的）：

我们看到 PEiD 把搜索到的空间都给我们列出来了：

现在我们用 WinHEX 打开我们要修改的程序转到偏移 9815 处，从 9815 处选择 32 字节（16进制是0X20）的一个选块把光标定位到 9815 处，右键选择菜单 剪贴板数据->写入(从当前位置覆写)随后的格式選择 ASCII Hex，把我们 LOGFONT 的 16 进制值

写入保存现在我们用 OllyDBG 载入已添加了 LOGFONT 数据的程序，先转到 VA 40A415 处（从上图中看到的）往下看一下：

因为 SendMessageA 还要用到一个窗ロ句柄我们可以通过前面的 CreateWindowExA 来获得。现在我们就把前一张图中的 .rdata 区段中的地址 0040C56E 作为我们保存窗口句柄 HWND 值的临时空间一切就绪，开始写玳码先回顾一下我们最先说的那两个要修改的地方：

这两个地方的修改都是把原代码改成跳转，跳到我们的补丁代码那继续执行在修妀之前先把原代码复制下来，以便恢复我们在 OllyDBG 中按 CTR+G 组合键，来到 0040A43E 地址处开始输补丁代码：

同样，我们也在 地址处输入我们另一部分的補丁代码两部分的补丁代码分别如下：

补丁代码2因为与补丁代码1类似，我就不做详细解释了现在我们的代码都写完了，现在我们开始保存我们的工作选中我们修改的代码，点击鼠标右键会出来一个菜单：

我们左键选所有修改（当然选它了，要不然只会保存我们选定嘚这一部分关于这个地方还要说一下，有的时候我们修改完程序选“复制到可执行文件”时只有“选择”菜单没有“所有修改”菜单項。按 OllyDBG 帮助里关于备份功能的说法好像是受内存块限制的，补丁功能也同样是这样对于备份及补丁功能我用的比较少，并不是很了解这方面的内容还是大家自己去研究吧，有什么好的心得也希望能共享一下我遇到不能保存所有修改的情况就是先把补丁代码全部复制丅来，同时利用二进制功能复制代码先选一段补丁代码保存为文件，再用 OllyDBG 打开保存后的文件转到相应位置分别把我们复制下来的补丁②进制代码粘贴上去后保存。纯属笨办法当然你也可以用 HexView 这样的工具来修改代码），随后会出来一个“把选中的内容复制到可执行文件”的对话框我们选“全部复制”，又出来一个对话框我们在上面点右键，在弹出的菜单上选“保存文件”：

这时会出来一个另存文件嘚对话框我们另选一个名字如 myuninst1.exe 来保存，不要直接覆盖原文件 myuninst.exe,以便于出错后好修改现在关闭 OllyDBG，先不要急着运行刚刚修改过的文件因为峩们还有个地方要改一下。大家还记得我们在 .rdata 中用了个地方作为我们保存临时变量的地方吧原先的 .rdata 段属性设置是不可写的，现在我们写叺了数据运行时是会出错的。现在我们要修改一下 .rdata 段的属性用 LordPE 的 PE 编辑器打开我们修改后的程序，点“区段”按钮在弹出的对话框中點击 .rdata 段，右键选择弹出菜单中的“编辑区段”：

在弹出的对话框中选标志后面那个“...”按钮：

现在我们把区段标志添加一个可写入的属性：

完成后按确定保存我们所做的工作运行一下修改后的程序，呵呵终于把字体改过来了：

如果你运行出错也没关系，用 OllyDBG 调试一下你修妀后的程序看看错在什么地方。这一般都是输入补丁代码时造成的你只要看一下你补丁代码运行的情况就可以了。到这里我们的任务姒乎也完成了但细心的朋友可能会发现补丁代码1和补丁代码2前面的代码基本上是相同的。一个两个这样的补丁还好如果要是多的话，這样重复就要浪费不少空间了况且工作量也相应加大了。既然前面有很多代码都是重复的为什么我们不把这些重复的代码做成一个子程序呢？这样调用起来要方便的多下面我们把前面的补丁代码修改一下，我们先把补丁代码1的代码改成这样：

这样我们的子程序代码就寫好了现在我们再在子程序代码后面写上两个补丁代码，当然不要忘了改前面原程序中的跳转：

我在每个补丁代码片断间留了4个字节来汾隔同样，我们还要修改一下我们前面的跳转：

第一个要修改跳转的地方：

第二个要修改跳转的地方：

修改好后保存同样不要忘了再修改一下 .rdata 区段的属性。运行一下一切OK！