4gb_patch原理

元始天尊

花1分钟搞了一下，该程序是允许程序支持4GB空间的小工具，今天恰好又见以前人讨论这个，现在分析一下：
话休絮烦，ida载入后直接找到代表WinMain的函数sub_4015A6，

1. int __stdcall sub_4015A6(HINSTANCE hInstance, int a2, int a3, int a4)
   
2. {
   
3.   const WCHAR *v4; // eax@1
   
4.   const WCHAR *v5; // eax@1
   
5. 
   
6.   ::hInstance = hInstance;
   
7.   v4 = GetCommandLineW();
   
8.   v5 = sub_401218(v4);
   
9.   if ( v5 )
   
10.   {
    
11.     sub_401087(v5);
    
12.   }
    
13.   else if ( sub_4011A1() == 1 )
    
14.   {
    
15.     DialogBoxParamW(hInstance, (LPCWSTR)0x65, 0, DialogFunc, 0);
    
16.   }
    
17.   return 0;
    
18. }

复制代码

sub_401218显然是处理命令行的，不用管，进入sub_4011A1和sub_401087看看：

1. 
   
2. int __cdecl sub_401087(LPCWSTR lpExistingFileName)
   
3. {
   
4.   HANDLE v1; // eax@1
   
5.   void *v2; // ebx@1
   
6.   int result; // eax@2
   
7.   LPVOID v4; // edi@5
   
8.   WCHAR NewFileName; // [sp+8h] [bp-210h]@1
   
9.   DWORD NumberOfBytesRead; // [sp+210h] [bp-8h]@5
   
10.   SIZE_T dwSize; // [sp+214h] [bp-4h]@3
    
11. 
    
12.   sub_40162A(&NewFileName, lpExistingFileName);
    
13.   sub_401638(&NewFileName, L".Backup");
    
14.   CopyFileW(lpExistingFileName, &NewFileName, 1);
    
15.   v1 = CreateFileW(lpExistingFileName, 0xC0000000, 1u, 0, 3u, 0x80u, 0);
    
16.   v2 = v1;
    
17.   if ( v1 == (HANDLE)-1 )
    
18.   {
    
19.     MessageBoxW(0, L"Couldn't open executable!", L"4GB Patch", 0x30u);
    
20.     result = 0;
    
21.   }
    
22.   else
    
23.   {
    
24.     dwSize = GetFileSize(v1, 0);
    
25.     if ( dwSize > 0x8000 )
    
26.       dwSize = 0x8000;
    
27.     v4 = VirtualAlloc(0, dwSize, 0x1000u, 4u);
    
28.     if ( ReadFile(v2, v4, dwSize, &NumberOfBytesRead, 0) )
    
29.     {
    
30.       SetFilePointer(v2, 0, 0, 0);
    
31.       *(_WORD *)((char *)v4 + *((_DWORD *)v4 + 15) + 22) |= 32u;
    
32.       WriteFile(v2, v4, dwSize, &NumberOfBytesRead, 0);
    
33.       CloseHandle(v2);
    
34.       result = 1;
    
35.     }
    
36.     else
    
37.     {
    
38.       VirtualFree(v4, 0, 0x8000u);
    
39.       CloseHandle(v2);
    
40.       MessageBoxW(0, L"Couldn't read executable!", L"4GB Patch", 0x30u);
    
41.       result = 0;
    
42.     }
    
43.   }
    
44.   return result;
    
45. }
    
46. int __usercall sub_4011A1@<eax>(int a1@<ebx>)
    
47. {
    
48.   int result; // eax@2
    
49.   WCHAR ExistingFileName; // [sp+0h] [bp-254h]@1
    
50.   int v3; // [sp+208h] [bp-4Ch]@1
    
51.   int v4; // [sp+20Ch] [bp-48h]@1
    
52.   int v5; // [sp+214h] [bp-40h]@1
    
53.   WCHAR *v6; // [sp+224h] [bp-30h]@1
    
54.   int v7; // [sp+228h] [bp-2Ch]@1
    
55.   int v8; // [sp+238h] [bp-1Ch]@1
    
56. 
    
57.   sub_4015ED(a1, &ExistingFileName, 0, 0x208u);
    
58.   sub_4015ED(a1, &v3, 0, 0x4Cu);
    
59.   v4 = 0;
    
60.   v6 = &ExistingFileName;
    
61.   v3 = 76;
    
62.   v5 = (int)L"All Files (*.*)";
    
63.   v7 = 260;
    
64.   v8 = (int)L"Select Executable...";
    
65.   if ( GetOpenFileNameW((LPOPENFILENAMEW)&v3) )
    
66.     result = sub_401087(&ExistingFileName);
    
67.   else
    
68.     result = 2;
    
69.   return result;
    
70. }
    

复制代码

可见小工具提供了命令行和选择2种方式，最后都要执行sub_401087
该函数读取文件并改写pe结构，具体为IMAGE_FILE_HEADER.Characteristics 增加IMAGE_FILE_LARGE_ADDRESSS_AWARE 意为支持2GB以上地址。。
分析完毕

0xAA55

那路或多！原来如此简单哈。

CCInt3

原来如此，多谢分享

0x01810

学习了 感谢分享