0x01 fwrite 函数

• 函数原型： size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream)
• 函数功能：把 ptr 所指向的数组中的数据写入到给定流 stream 中
• 动态链接库：ucrtbased.dll
• C\C++ 实现：

#define _CRT_SECURE_NO_WARNINGS // 用于排除安全限制

#include <stdio.h>

#include <string.h>

int main()

{

	FILE* fp;

	char c[] = "This is runoob";

	char buffer[20];

	/* 打开文件用于读写 */

	fp = fopen("D:\\1.txt", "w+");

	/* 写入数据到文件 */

	fwrite(c, strlen(c) + 1, 1, fp);

	/* 查找文件的开头 */

	fseek(fp, 0, SEEK_SET);

	/* 读取并显示数据 */

	fread(buffer, strlen(c) + 1, 1, fp);

	printf("%s\n", buffer);

	fclose(fp);

	return(0);

}

• 上述程序主要的功能就是打开路径为 D:\1.txt 文件，之后将字符串 This is runoob 写入文件后，再读取。运行结果如下图所示：
  
  
• 调试工具：x32dbg
• 逆向分析：要分析 fwrite 函数首先需要定位函数的位置，由于这个程序比较简单，所以直接定位 main 函数即可。如下图所示通过直接定位字符串 This is runoob 就可以找出 main 函数的位置
  
  
• 在 main 函数中看出有几个重要的 API 函数，例如：fopen、strlen、fwrite、fread 这几个函数
  
  
  
  
• 而本次分析的是 fwrite 函数，因此直接定位到该函数，传入的参数如下图注释所示。需要注意的是字符串的长度是通过上面的 strlen 函数获取的，而文件的句柄是通过 fopen 函数获得的
  
  
• 进入 fwrite 函数进行分析。首先会对传入的参数进行过滤（这也是一些 API 函数的通用流程），判断传入的字符串、文件句柄、元素的个数是否为 0，也就是是否存在的意思。如果有一个条件不符合就会调用 ucrtbased._CrtDbgReportW 函数做错误处理或直接清空 eax 返回
  
  
• 继续向下调试，发现会调用 ucrtbased.sub_F538CD0 函数，这个函数的功能比较简单，就是将传入 fwrite 的参数赋值到 [ebp-18] 这个局部变量当中，为了方便起见将这个局部变量取名为 fileinfo，而且根据赋值的特征，这个 fileinfo 很有可能是一个结构体
  
  
• 紧接着调用 ucrtbased.sub_F53DF10 函数，压入的第一个参数为文件的句柄（fopen 函数的返回值，类型为 FILE），第二个参数为 fileinfo 结构体
  
  
• 进入 ucrtbased.sub_F53DF10 函数，可以看出这个函数调用了三个子函数。第一个函数 ucrtbased.sub_F51F4C0 的功能是将传入的参数一（文件句柄）放入局部变量 [ebp-8] 中，第二个参数 ucrtbased.sub_F51F4C0 的功能是将文件句柄赋值到局部变量 [ebp-c] 当中去。之后压入 [ebp-8] 后调用 ucrtbased.sub_F53DE80 函数，需要注意的是，这里还有一个局部变量 [ebp-1]，通过 ecx 传入的
  
  
• 进入 ucrtbased.sub_F53DE80 函数，发现这个函数会调用 4 个子函数，第一个函数 ucrtbased.sub_F538D10 的功能是调用 _lock_file API 函数来锁住文件，为的是为接下来写入文件做铺垫，而传入 ucrtbased.sub_F53DE80 函数的参数是通过 [ebp+8] 来获取的，也就是文件句柄
  
  
  
  
• 既然通过了 _lock_file 来锁住文件那么之后肯定需要解锁文件，解锁文件的系统 API 函数是 _unlock_file，由该函数中的 ucrtbased.sub_F538D30 函数调用
  
  
  
  
• 而 ucrtbased.sub_F53DF50 函数才是实现 fwrite 功能的核心函数，传入此函数的参数如下图中的注释所示
  
  
• ucrtbased.sub_F53DF50 函数中调用了 3 个子函数
  
  
• 第一个函数 ucrtbased.sub_F53AF70 ，主要功能是判断文件描述符是否于指定设备想关联
  
  
• 主要用到了 _fileno 和 _isatty 两个 API 来判断，如果未关联就返回 _isatty 的返回值，如果没有就做一些处理，由于处理涉及调式和未调试的区别，比较复杂，所以不多述
  
  
• 进行完设备关联判断之后，调用 _fwrite_nolock 这个 API 函数将传入的字符串写入规定的文件流，传入的参数如图所示，返回值储存在 [ebp-8] 中
  
  
• 最后看一下 ucrtbased.sub_F53AFA0 函数
  
  
• 在这个函数内部首先会判断传入的第一个参数是否为 0，根据实际的运行流程在 test ecx,ecx 命令判断之后直接实现了跳转，函数直接返回了。为了详细的了解程序，还是看了一下这几个函数都调用了哪些 API 函数，经过查找后发现在 ucrtbased.sub_F539070 函数中调用了 _fileno 和 _write，这个和上面处理的流程还是蛮类似的
  
  
• 最后函数返回，返回值就是 _fwrite_nolock 函数的返回值
  
  
  
  
  
  
  
  
• 最后完成对 fwrite 函数的调用
  
  
• 函数运行流程：开始->参数过滤->_lock_file->_file_no->_isatty->_fwrite_nolock->unlock_file->结束

逆向 stdio.h 库的 fwrite 函数到此结束，如有错误，欢迎指正