标签:alt 放弃 arch 研究 是什么 controls 返回 bank release
本文由CharlesSimonyi发表于CSDN博客:http://blog.csdn.net/charlessimonyi/article/details/30479131转载请注明出处
之前就看到CSDN论坛上有人提问。自己写的程序中的WebBrowser打开招商银行的登录页面后(https://pbnj.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx),无法显示password输入控件,可是在IE中能够正常显示。
后来又在猪八戒威客网上看到有人提这个问题,而且还悬赏了570人民币。
重赏之下必有勇夫。这不,为了买一块新硬盘,我就一头扎进了这个问题里。
不卖关子。先把解决方法告诉大家,相信有不少人在头疼这个问题。
先把你手头的问题攻克了。假设有兴趣再继续往下看解决问题的过程。
1.假设你的程序是VC6.0、VC2003、VC2005写的,应该什么都不用做,默认情况下它是能正常显示招商银行password输入控件的。
2.假设你的程序是VC2008、VC2010、VC2012或更高版本号的VC写的。打开“项目”-“XX项目属性”-“配置属性”-“链接器”-“命令行”。在“其他选项”里输入“/NXCOMPAT:NO”,又一次编译下就OK。
3.假设你的程序是随意版本号的C#、VB.NET等NET语言写的,在编译生成了exe可运行文件后。
假如终于编译出来的exe文件为c:\project\bin\Release\WindowsFormsApplication.exe,则在VisualStudio中打开“工具”-“VisualStudio命令提示”(或在開始菜单中找到“Microsoft Visual Studio 2010”-“VisualStudio Tools”-“Visual Studio 命令提示”)
输入editbin.exe /NXCOMPAT:NO c:\project\bin\Release\WindowsFormsApplication.exe
回车,OK。
4.假设你的程序是其他语言写的,自己研究一下吧。关键点就是在/NXCOMPAT:NO这个链接器开关上。
效果:
VC2010:
C#:
/NXCOMPAT:NO的意思是将可运行文件显式指定为与数据运行保护不兼容。也就是关闭数据运行保护功能。什么意思呢,就是说当开启这个选项时。不同意在堆栈上的内存上运行代码,由于同意在堆栈内存上运行代码并不安全。有可能被恶意者利用来进行溢出攻击。可是一些比較老的程序,用到了在堆栈内存上动态写入代码指令并运行的技术。招商银行的这个控件是用VC2003的ATL7.1开发的,ATL7.1里面就用到了这样的技术,而VC2005以上的编译器默认开启NXCOMPAT数据运行保护,导致招商银行的这个控件无法运行而显示不出来。我们仅仅要关闭NXCOMPAT数据运行保护。招商银行的控件就正常运行了。
关于NXCOMPAT这个链接器开关,MSDN上有介绍:http://msdn.microsoft.com/zh-cn/library/ms235442.aspx
关于C#与NXCOMPAT能够看这篇文章:http://blogs.msdn.com/b/ed_maurer/archive/2007/12/14/nxcompat-and-the-c-compiler.aspx
以下開始解说决问题从头到尾的过程,这个过程花了我三天时间,第一天毫无头绪,差点就放弃了。
但想到我那台电脑用了快三年了。一直挂着80G的老IDE硬盘。一直没有钱买新的。为了新硬盘,拼了。
那天在猪八戒上看到这样一个任务,有人悬赏570元求解决C#程序的WebBrowser无法显示招商银行password输入控件的问题。然后我打开VC2010,试了一下,也是无法显示。我首先想到是WebBrowser是不是为了出于安全考虑,禁用了一些Activex控件,在网上搜索了非常久,改了多处注冊表。仍然无法解决。
可是支付宝、工商银行这些站点的password输入控件都是能正常显示的啊。
我又在网上找了一些个人开发的基于WebBrowser的浏览器。都是无法显示招商银行的password输入控件。
因为招商银行的password输入控件与支付宝的password输入控件都是Activex控件,于是我把他们都拖到MFC的窗体上,支付宝的控件能正常显示。可是招商银行的控件没有出来。调试发现容纳招商银行控件的容器。一个CWnd对象。Create的时候失败了,内部句柄为空。
再单步调试进去。发现是错在COleControlSite::DoVerb这里,该方法调用这个控件的IoleObject接口的DoVerb方法,返回了E_FAIL错误。可是支付宝的控件调用DoVerb时返回的是S_OK正确。
因为IoleObject::DoVerb跟不进去了,无法知道错在哪里,可是能够肯定是,这个错误是在招商银行的控件内部。晚上我看了下《深入解析ATL》关于Ativex这一章,看了下IoleObject接口,并没有什么突破。
第二天发现猪八戒上那个任务,有人交稿了,那个人使用易语言写的程序,它的程序中的WebBrowser确实能正常显示招商银行的password输入控件。顿时信心与自信倍受打击,好在那个猪八戒客户对此并不买账。要求必须用C#实现。我又抓紧时间在网上搜啊搜啊搜,搜遍了百度、Google、Bing。总算找到了一点实用的信息,有人说换用VC2005后就正常了。于是我立即把VS2005装起来。果然,VC2005写的程序中的WebBrowser打开招商银行站点后能正常显示那个password输入控件。又在VC6.0里面试了下,也是能正常显示。
之前把那个易语言写的程序拖到IDA Pro里发现这个易语言程序的内部居然是基于VC6.0的MFC4.2写出来的,感情那个用易语言交稿的威客什么都没做,就是拖了个WebBrowser控件就能正常显示招商银行控件了。这样也敢交稿啊。哎,无论他,回到问题上来,为什么会这么奇怪。难道这个控件和高版本号的VC冲突?高版本号的VC程序和低版本号的VC程序有什么差别?CRT执行库不同?不正确啊,这个控件是静态链接到CRT执行库的,应该影响不到啊。
依旧是毫无头绪,试了一下用VS2005创建C#项目,还是无法显示招行控件,可是用VS2005创建C++/CLR项目。能正常显示招行控件!
而VS2010下不管是C#项目还是C++/CLR项目都不行。哎,不管了,先把C++/CLR写的Demo程序传上去,在猪八戒上交稿,就说是用C#写的Demo,反正它两都是个WinFrom的窗体,非常像,看不出来。先蒙混一下,防止易语言的那个威客抢占了先机。
后来交稿后。猪八戒客户就迅速让我中标了,完了,我还不知道该怎样解决问题呢。
仅仅好含糊的说在VS2005上能够实现,而客户要求在VS2012上实现。我说那再研究下吧。他说好。
这下糟了。还一点头绪都没有。就面临着要给客户提交终于解决方式了,这个牛皮吹大了。
哎。算了,实在搞不定就放弃,撤销猪八戒交易。
又不停的在网上搜索,看身边的各种书籍,依旧没找到什么突破口。于是我把VC2005和VC2010都打开,各创建一个MFC项目。把招商银行password输入控件放到窗体上。
两边一起调试。看看到哪一步,VC2005中的程序正确而VC2010中的程序错误。
经过调试发现错误依旧是在COleControlSite::DoVerb里,调用控件的IoleObject::DoVerb时,VC2005下S_OK正常。VC2010下E_FAIL错误。
看来错误是出在控件内部的代码上。不调试进去是找不到错误了。那就跟进去看看吧。
右键-转到反汇编,VC2005和VC2010一起调试,单步慢慢的走,特别注意每个call指令,观察EAX寄存器的不同,由于EAX寄存器一般用于存放call指令调用一个函数后的返回值。假设两边调用call指令后EAX不同。尤其是VC2010这边的EAX出现0x00000000(NULL)或0x80004005(E_FAIL)。而VC2005那边不是这两个值。就更应该注意了。单步步入进去,继续慢慢的走。经过调试对照。发现执行10007DA9处的call指令后,VC2005中的EAX为非零值,VC2010中的EAX为0。则又一次调试执行,到这个10007DA9处的call时单步步入。步入以后,又在10009256处的call 10009370发现了执行结果的不同。VC2005这边EAX为非零值,VC2010这边EAX为0。
于是又又一次调试执行,在10009256处单步步入。
用这个方案一步步找进去以后。终于发如今100093DB处call了user32.dll中的CreateWindowExA后,VC2005这边返回了一个非零值,即得到了一个窗体句柄。可是VC2010这边返回值为0,空句柄,窗体创建失败了。
正是这里窗体创建失败了,后面才导致IoleObject::DoVerb返回E_FAIL。为什么在VC2010中调用CreateWindowExA时创建窗体会失败呢?在调用完CreateWindowExA后,查看一下GetLastError返回的值不就知道了吗?查看GetLastError值的方法非常多。
一种是查看内存,GetLastError内部的那个保存着错误值的变量。应该是kernel32.dll中的一个全局或静态变量,那么它的相对地址应该是固定的。能够直接在kernel32.dll映射到进程的地址空间内的地址范围的内存上找。至于相对内存地址是多少。能够调用GetLastError并调试,查看反汇编代码单步跟进去得到。还有一种方法是HOOK CreateWindowExA这个API,通过检查參数确定哪一次调用是招行的控件内部的代码调用的,然后调用GetLastError并查看返回值。两种方法都试过了以后。发现GetLastError返回值均为0!
也就是说没有错误?没有错误的话为什么CreateWindowExA会失败返回空句柄?立即在网上搜索“调用CreateWindowExA失败但GetLastError为0”,发现这样的错误通常是窗体过程函数有问题导致的。窗体过程没有处理好WM_CREATE之类的消息。
为什么它的窗体过程在VC2005中就没问题。在VC2010中就有问题?一样的代码,不至于吧!哎。没办法,看一看它的窗体过程函数吧。窗体过程函数是由窗体类指定的,看看这个窗体类名是什么。CreateWindowExA的第二个參数就是窗体类名,从反汇编代码能够看出100093D7处的push eax给它填了这个參数。往上面看,这里eax的值又是从[ebp+20h]中得到的,[ebp+20h]明显是传给过程10009370的參数。看看在IDA Pro通过查看交叉參考。看看是谁调用了10009370。是谁把这个參数传进来的。发现。仅仅有过程10009203调用了过程10009370。
在过程10009203中发现窗体类名的这个參数在[ebp+0Ch]处。是过程10009203的一个參数,也是由过程10009203的调用者传进来的。继续查看过程10009203的调用者是谁。可是通过查看交叉參考。找不到10009203的调用者,在VC中调试也是看得头大,一头雾水。等等。我的目的是要找到这个窗体类的窗体过程函数的地址,不一定非得去看它的反汇编代码。不如Hook CreateWindowExA这个API。得到它的窗体类名,再调用GetClassInfo得到这个窗体类的信息,里面不就有它的窗体过程函数地址了吗?说干就干,果然,这个地址找到了。
10009261就是它的窗体过程函数的地址,立即到IDA Pro里面去看。
这个窗体过程函数非常easy,可是1000928E处调用SetWindowLongA引起了我的注意。
看它调用SetWindowLongA时放入的第二个參数是什么。0xFFFFFFFC!也就是有符号数-4。查看MSDN上SetWindowLongA的參考资料发现-4就是GWL_WNDPROC。原来它调用SetWindowLongA改了窗体过程函数的地址。这样的手法是MFC和ATL惯用的。并不奇怪。看一看他把窗体过程函数的地址改成了什么?再跑到它的新窗体过程函数中看看。因为这个地址是由[esi+14h]提供的,是一个动态的值,在静态反汇编中看不出来。那就到VC中调试看看。
在一次调试中发现这个新的窗体过程函数的地址是00652F88,好诡异的地址,这个地址根本不在它的模块地址范围内。也不在不论什么模块地址范围内!
!!
先无论了。既然00652F88是它的新窗体过程函数地址,那么兴许的窗体消息将被发到这个新地址处的窗体过程函数处理,而且在100092A1处能够看到它call esi,原来是连当前这条windows消息也立即转到新的窗体过程函数处理了。那就到00652F88处下断点看看吧。
可是下断点以后发现根本断不下来。怎么回事,转到OD中调试看看能不能断下来。
在OD中调试的时候,这个新窗体过程函数的地址是003060F8,能够看到它在这里给[esp+4]传送了一个马上数(这个马上数每次都不同)以后,马上转到了1000581F,1000581F是它模块中的一个函数,看来1000581F才是真正的新窗体过程地址,它用003060F8来中转,仅仅只是进行了一个操作。给[esp+4]传送了一个马上数。不知道它这样做的意义是什么,但这个不是重点。重点是在OD中,003060F8断下来了,而且无法继续往下运行,提示訪问违规。内存訪问违规?意思是003060F8这块内存是不可运行的?可是VC2005生成的程序,运行到这里的时候并没有訪问违规!
在OD中查看003060F8所在的这块内存的属性,是可读可写但不可运行的。
所以訪问违规了?
把这块内存强制改成可读可写可运行看看,果然。改了它的訪问属性以后,003060F8处的代码就能继续往下运行。没有提示訪问违规了。继续运行后。招商银行的password输入控件也创建成功了,静静的躺在我的对话框窗体上!
哎,可是不正确啊,调试VC2005生成的程序的时候,这块内存也是可读可写不可执行的。不须要改变它的訪问属性,也能正常执行,没有訪问违规啊!
怎么会这样呢?先看看003060F8这块内存是哪里来的。
回到调用SetWindowLongA的过程10009261中去,能够看到新窗体过程函数的地址是从esi中得来的,每次都不一样。esi中的这个地址又是怎么来的呢?在IDA Pro中查看过程10009261的交叉參考图表。
发现过程10009261在调用SetWindowLongA之前调用了100092A8。而100092A8中又调用了HeapAlloc和GetProcessHeap,非常明显。它在堆上分配了内存。
那么esi中的地址是不是这里在堆上分配的内存的地址呢?查看过程100092A8的反汇编代码。
果然,调用HeapAlloc在堆上分配了0Dh(13)个字节的内存。
13个字节。
等等。13个字节!
之前代码运行到003060F8处的时候发生訪问异常,那里的指令代码正好就是13个字节。
能够得出结论了。它在堆上分配了13个字节的内存。并在这13个字节里写入了两条指令。并把这13字节的内存起始地址作为新窗体过程函数的地址,然后运行这两条指令。不清楚它为什么要这样做,不清楚它为什么要在堆上内存写代码,然后在堆上内存运行代码,并且看来它的新窗体过程函数的真实地址应该是它模块上的1000581F,为什么这里要给[esp+4]传送一个每次运行时都不一样的马上数呢?这些问题能够无论它,眼下要解决的问题是,为什么VC2005写的程序,能够运行堆上内存的代码,而VC2010写的程序。不能运行堆上内存的代码,出现了訪问违规。攻克了这个问题。整个问题的答案就出来了。
查阅了一些书籍。并没有找到答案。我一直不停的思考,为什么VC2005写的程序和VC2010写的程序会存在这样的差异呢?CRT执行库不同吗?CRT执行库不同带来的内存问题都是分配和释放的问题,应该和那个没关系啊。
还有什么不同呢?
编译器命令和链接器命令。依稀记得链接器命令里有设置模块默认基址等选项,那是不是也有设置堆栈内存訪问控制的选项呢?对照VC2005和VC2010的编译器命令和链接器命令,一发现不同之处就到网上搜一搜它的意义。
后来链接器命令中的/NXCOMPAT:NO引起了我的注意,VC2005中默认有这个命令,而VC2010中默认没有。查一下它的意义。与数据运行保护兼容,再看一下他的解释。
http://msdn.microsoft.com/zh-cn/library/ms235442.aspx
http://msdn.microsoft.com/zh-cn/library/aa366553(vs.85).aspx
果然。问题就出在这里。VC2005以上版本号的编译器中默认与数据运行保护兼容。也就是不同意运行堆栈内存上的代码。NET也都是默认与数据运行保护兼容,不同意运行堆栈内存上的代码。然后在VC2010的编译器命令里加上/NXCOMPAT:NO后。VC2010写的程序也能正常显示招商银行password输入控件了,当然。用WebBrowser打开招商银行网页也能显示这个控件了。接下来在网上搜索了一下C#怎样使用/NXCOMPAT:NO这个命令,也非常快找到了方法。
http://blogs.msdn.com/b/ed_maurer/archive/2007/12/14/nxcompat-and-the-c-compiler.aspx
这里也提到了一些ATL7.1或更早的版本号的ATL代码与数据运行保护不兼容。为了保持兼容这些程序而使用/NXCOMPAT:NO命令。
而招商银行的password输入控件正是ATL7.1开发的。
至此,整个问题最终攻克了。把解决的方法交付客户后拿到了570元的报酬,可惜被可恶的猪八戒扣除交易手续费、个人所得税、提现手续费后,最终到账仅仅有420多元。自己加了100多元后最终如愿以偿的买到了希捷2T硬盘。
WebBrowser无法显示招商银行password输入控件的问题
标签:alt 放弃 arch 研究 是什么 controls 返回 bank release
原文地址:http://www.cnblogs.com/yutingliuyl/p/6700732.html