"陷阱"技术探秘──动态汉化Windows技术的分析 tSy 9v
[G 9Pb)
四通利方(RichWin)、中文之星(CStar)是大家广为熟知的汉化Windows产品,"陷阱"技术即动态修改Windows代码,一直是其对外宣称的过人技术。本文从Windows的模块调用机制与重定位概念着手,介绍了"陷阱"技术的实现,并给出了采用"陷阱"技术动态修改Windows代码的示例源程序。 coCT]<
nbxY'`8F
一、发现了什么? d&3"?2IQ
笔者多年来一直从事Windows下的软件开发工作,经历了Windows 2.0 、 3.0 、3.1 ,直至Windows 95、NT的成长过程,也遍历了长青窗口、长城窗口、DBWin、CStar、RichWin等多个Windows汉化产品。从现在看来,影响最大也最为成功的,当推四通利方的RichWin;此外,中文之星CStar与RichWin师出一门,其核心技术自然也差不多。其对外宣传采用独特的"陷阱" 技术即动态修改Windows代码,一直是笔者感兴趣的地方。 ss-W[|cHU
EXEHDR是Microsoft Visual C++开发工具中很有用的一个程序,它可以检查NE(New-Exe cutable)格式文件,用它来分析RichWin的WSENGINE.DLL或CStar的CHINESE.DLL,就会发现与众不同的两点(以CStar 1.20为例): Nu qmp7C
Gf8 ^nfr
C:\CSTAR>exehdr chinese.dll /v \Zf=A[
.................................. NX\AQVy9
I<}% L
V
6 type offset target R_!'=0}V
BASE 060a seg 2 offset 0000 -!!]1\S*Y
PTR 047e imp GDI.GETCHARABCWIDTHS -9vNV:c
PTR 059b imp GDI.ENUMFONTFAMILIES |GMo"[
PTR 0451 imp DISPLAY.14 ( EXTTEXTOUT ) iM!Ya!
PTR 0415 imp KEYBOARD.4 ( TOASCII ) ")KqPD6k
PTR 04ba imp KEYBOARD.5 ( ANSITOOEM ) _DxHJl
PTR 04c9 imp KEYBOARD.6 ( OEMTOANSI ) AL":j6!OQ
PTR 04d8 imp KEYBOARD.134( ANSITOOEMBUFF ) y`9#zYgqA
PTR 05f5 imp USER.430 ( LSTRCMP ) #ss/mvc3
PTR 04e7 imp KEYBOARD.135( OEMTOANSIBUFF ) 4?Y7.:x
PTR 0514 imp USER.431 ( ANSIUPPER ) NL]_;\ h
PTR 0523 imp USER.432 ( ANSILOWER ) F'M X9P
PTR 05aa imp GDI.56 ( CREATEFONT ) zgY VB}
PTR 056e imp USER.433 ( ISCHARALPHA ) *I :c@iCNJ
PTR 05b9 imp GDI.57 ( CREATEFONTINDIRECT ) 4T@+gy^.
PTR 057d imp USER.434 ( ISCHARALPHANUMERIC ) U/'l "N[
PTR 049c imp USER.179 ( GETSYSTEMMETRICS ) Oj-\
PTR 0550 imp USER.435 ( ISCHARUPPER ) _Q:z -si
PTR 055f imp USER.436 ( ISCHARLOWER ) g$]WKy(D
PTR 0532 imp USER.437 ( ANSIUPPERBUFF ) s(py7{ ^K
PTR 0541 imp USER.438 ( ANSILOWERBUFF ) )bM,>x
PTR 05c8 imp GDI.69 ( DELETEOBJECT ) p2Khfl6-
PTR 058c imp GDI.70 ( ENUMFONTS ) Muwlehuq
PTR 04ab imp KERNEL.ISDBCSLEADBYTE CUJq [
PTR 05d7 imp GDI.82 ( GETOBJECT ) XQ~Xls%]
PTR 048d imp KERNEL.74 ( OPENFILE ) 4Q !A w
PTR 0460 imp GDI.91 ( GETTEXTEXTENT ) , >aa2
PTR 05e6 imp GDI.92 ( GETTEXTFACE ) r 10VFaly
PTR 046f imp GDI.350 ( GETCHARWIDTH ) ~QSX 1w"
PTR 0442 imp GDI.351 ( EXTTEXTOUT ) OxDqLX
PTR 0604 imp USER.471 ( LSTRCMPI ) Hc\C0V<
PTR 04f6 imp USER.472 ( ANSINEXT ) PVg<Ovi^d
PTR 0505 imp USER.473 ( ANSIPREV ) IP/%=m)\%
PTR 0424 imp USER.108 ( GETMESSAGE ) 'IY?=#xr'`
PTR 0433 imp USER.109 ( PEEKMESSAGE ) aX1b(h2
MWme3u)D
35 relocations WowT!0$
"gy&eR>
(括号内为笔者加上的对应Windows API函数。) D\G.p |9=
第一,在数据段中,发现了重定位信息。 R*vQvO%)h
第二,这些重定位信息提示的函数,全都与文字显示输出和键盘、字符串有关。也就是说汉化Windows,必须修改这些函数。 @%fTdneH
在这非常特殊的地方,隐藏着什么呢?毋庸置疑,这与众不同的两点,对打开"陷阱"技术之门而言,不是金钥匙,也是敲门砖。 ^?RH<z
CNb(\]
二、Windows的模块调用机制与重定位概念 ^mn!;nu
为了深入探究"陷阱"技术,我们先来介绍Windows的模块调用机制。 @<eKk.Y?+
Windows的运行分实模式、标准模式和增强模式三种,虽然这几种模式各不相同,但其核心模块的调用关系却是完全一致的。 uD@ZM
主要的三个模块,有如下的关系: |\dv$`_T
·KERNEL是Windows系统内核,它不依赖其它模块。 FzEs1hpl
·GDI是Windows图形设备接口模块,它依赖于KERNEL模块。 wH8J?j"5>
·USER是Windows用户接口服务模块,它依赖于KERNEL、GDI模块及设备驱动程序等所有模块。 c #TY3Z|
这三个模块,实际上就是Windows的三个动态链接库。KERNEL有三种系统存在形式:Kern el.exe(实模式)、Krnl286.exe(标准模式)、Krnl386.exe(386增强模式);GDI模块是Gdi.ex e;USER模块是User.exe。虽然文件名都以EXE为扩展名,但它们实际都是动态链接库。同时,几乎所有的API函数都隐藏在这三个模块中。用EXEHDR对这三个模块分析,就可列出一大堆大家所熟悉的Windows API函数。 l<XYDb~op
以GDI模块为例,运行结果如下: 0)SRLHTY%
C:\WINDOWS\SYSTEM>exehdr gdi.exe Ho&:Zs
6!>p<p"Ns
Exports: 2*Qi4%s#
y5F+~z}{
rd seg offset name "LTw;& y
............ ;@=3
@v
351 1 923e EXTTEXTOUT exported, shared data |l8=z*v<