10.4.4 使用ctypes调用kernel32.dll中的函数

2007-10-17 14:41 孙广磊 人民邮电出版社 字号：T | T

综合评级：

想读(5)  在读(0)  已读(6)  品书斋鉴(1)   已有11人发表书评

《征服Python—语言基础与典型应用》第十章主要讲的是系统编程，本节介绍了使用ctypes调用kernel32.dll中的函数。

AD：2014WOT全球软件技术峰会北京站 课程视频发布

10.4.4  使用ctypes调用kernel32.dll中的函数

使用ctypes模块可以使Python调用位于动态链接库中的函数。在Python 2.5版中已经包含了ctypes模块。如果使用其他版本的Python，可以到http://python.net/crew/theller/ctypes网站下载安装。ctypes适用于Python 2.3版本及以上。

1．ctypes简介

ctypes为Python提供了调用动态链接库中函数的功能。使用ctypes可以方便地调用由C语言编写的动态链接库，并向其传递参数。ctypes定义了C语言中的基本数据类型，并且可以实现C语言中的结构体和联合体。ctypes可以工作在Windows、Windows CE、Mac OS X、Linux、Solaris、FreeBSD、OpenBSD等平台上，基本上实现了跨平台。

以下的实例使用ctypes实现了在Windows下直接调用user32.dll中的MessageBoxA函数。运行后如图10-6所示。

    
>>> from ctypes import *>>> user32 = windll.LoadLibrary('user32.dll')    # 加载动态链接库>>> user32.MessageBoxA(0, 'Ctypes is cool!', 'Ctypes', 0)# 调用MessageBoxA函数

1

图10-6  使用ctypes

2．数据类型与结构体

ctypes实现C语言的基本数据类型，如表10-2所示列出了几个基本的数据类型的对照。
表10-2            数据类型对照

ctypes数据类型

C数据类型

ctypes数据类型

C数据类型

c_char

char

c_float

float

c_short

short

c_double

double

c_int

int

c_void_p

void *

c_long

long

 

 

在Python中要实现C语言的结构体，需要使用类。在Python中使用ctypes实现Windows中的PROCESS_INFORMATION结构体如下所示。

    
typedef struct _PROCESS_INFORMATION { HANDLE hProcess;  HANDLE hThread;  DWORD dwProcessId;  DWORD dwThreadId;} PROCESS_INFORMATION, *LPPROCESS_INFORMATION;在Python中由ctypes实现。class _PROCESS_INFORMATION(Structure):_fields_ = [('hProcess', c_void_p),('hThread', c_void_p),('dwProcessId', c_ulong),('dwThreadId', c_ulong)]

要声明一个PROCESS_INFORMATION类型的数据只要使用如下语句即可。

ProcessInfo = _PROCESS_INFORMATION()

如果在函数中要向结构体成员变量中赋值，可以使用byref。byref相当于C语言中的“&”。

3．使用kernel32.dll中函数更改程序流程

在某些情况下，因为没有程序的源代码，但是又想让该程序在一定的情况下按照某一特定的方式执行。此时就可以使用WriteProcessMemory函数，在创建程序进程后，修改其内存地址，按照要求执行。WriteProcessMemory的函数原型如下所示。

   BOOL WriteProcessMemory(HANDLE  hProcess,LPVOID  lpBaseAddress,LPCVOID lpBuffer,SIZE_T  nSize,SIZE_T*  lpNumberOfBytesWritten);

其参数含义如下。
? hProcess：要写内存的进程句柄。
? lpBaseAddress：要写的内存起始地址。
? lpBuffer：写入值的地址。
? nSize：写入值的大小。
? lpNumberOfBytesWritten ：实际写入的大小。
首先，在Visual C++ 6.0中创建一个示例程序。在Visual C++中创建一个新的Win32 Application，工程名为“ModifyMe”，如图10-7所示。

图10-7  创建工程对话框

单击【OK】按钮，弹出如图10-8所示的对话框。单击【Finish】按钮后，会弹出一个确认对话框，单击【OK】按钮完成工程创建。新建一个C/C++文件，将其命名为ModifyMe.c，输入如下所示代码。编译ModifyMe后运行ModifyMe.exe，如图10-9所示。

    /*  ModifyMe.c */ #include int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,LPSTR lpCmdLine, int nCmdShow){int a = 0;int b = 1;if ( a != b )  /* 此处即需要编写Python脚本修改的地方 */{MessageBox(NULL, "Bad Python", "Python", MB_OK);}else{MessageBox(NULL, "Good Python", "Python", MB_OK);}}

图10-8  工程属性对话框 

              图10-9  修改前的ModifyMe程序

为找到“if ( a != b )”的反汇编后的代码，需要在ModifyMe.c中设置断点，进入调试模式，查看汇编代码，如下所示。可以看出，关键是位于地址0040103C处的je指令。

    7:        if ( a != b )00401036   mov         eax,dword ptr [ebp-4]00401039   cmp         eax,dword ptr [ebp-8]0040103C   je          WinMain+4Dh (0040105d)

0040103C处的je指令表示如果a与b的值相等，则程序跳转至0040105d处执行。而程序中a与b的值并不相等，因此程序没有跳转。这里需要将je指令改为jne。其中je指令反汇编后的十六进制值为0x74，而jne则为0x75。如果要修改程序流程，只要向0040103C地址处写入一个字节，将je改为jne，即向0040103C处写入0x75。编写的修改脚本代码如下所示。

   #  -*- coding:utf-8 -*-#  file: ModifyMemory.py#from ctypes import *# 定义_PROCESS_INFORMATION结构体class _PROCESS_INFORMATION(Structure):  _fields_ = [('hProcess', c_void_p),('hThread', c_void_p),('dwProcessId', c_ulong),('dwThreadId', c_ulong)]# 定义_STARTUPINFO结构体class _STARTUPINFO(Structure):_fields_ = [('cb',c_ulong),('lpReserved', c_char_p),  ('lpDesktop', c_char_p),  ('lpTitle', c_char_p), ('dwX', c_ulong),('dwY', c_ulong), ('dwXSize', c_ulong),('dwYSize', c_ulong), ('dwXCountChars', c_ulong),('dwYCountChars', c_ulong), ('dwFillAttribute', c_ulong), ('dwFlags', c_ulong),('wShowWindow', c_ushort),  ('cbReserved2', c_ushort), ('lpReserved2', c_char_p),  ('hStdInput', c_ulong),  ('hStdOutput', c_ulong),('hStdError', c_ulong)]NORMAL_PRIORITY_CLASS = 0x00000020     # 定义NORMAL_PRIORITY_CLASSkernel32 = windll.LoadLibrary("kernel32.dll")  # 加载kernel32.dllCreateProcess = kernel32.CreateProcessA   # 获得CreateProcess函数地址ReadProcessMemory = kernel32.ReadProcessMemory # 获得ReadProcessMemory函数地址WriteProcessMemory = kernel32.WriteProcessMemory # 获得WriteProcessMemory函数地址TerminateProcess = kernel32.TerminateProcess# 声明结构体ProcessInfo = _PROCESS_INFORMATION()StartupInfo = _STARTUPINFO()file = 'ModifyMe.exe'       # 要进行修改的文件address = 0x0040103c        # 要修改的内存地址buffer = c_char_p("_")        # 缓冲区地址bytesRead = c_ulong(0)       # 读入的字节数bufferSize =  len(buffer.value)     # 缓冲区大小# 创建进程if CreateProcess(file, 0, 0, 0, 0, NORMAL_PRIORITY_CLASS,0, 0, byref(StartupInfo), byref(ProcessInfo)):# 读取要修改的内存地址，以判断是否是要修改的文件if ReadProcessMemory(ProcessInfo.hProcess, address, buffer, bufferSize, byref(bytesRead)):if buffer.value == '\x74':buffer.value = '\x75'     # 修改缓冲区内的值，将其写入内存# 修改内存if WriteProcessMemory(ProcessInfo.hProcess, address, buffer, bufferSize, byref(bytesRead)):print '成功改写内存!'else:print '写内存错误!'else:print '打开了错误的文件!'TerminateProcess(ProcessInfo.hProcess,0) # 如果不是要修改的文件，则终止进程else:print '读内存错误!'else:print '不能创建进程!'

运行脚本后，如图10-10所示。

图10-10  修改后的ModifyMe