👩🏻‍🏫 ☃️ ☢️ cmd.exeの「歴史的理由」を引き続き扱います 📳 🔷 👩🏼‍🤝‍👩🏻

前の記事で、Windowsオペレーティングシステムファミリの標準のcmd.exeコマンドラインインタープリターに含まれるCDコマンドに「/ D」キーを指定する必要がある状況の解決策について説明しました。特別な理由もなく太古の昔から続いているさらに別の行動について話す時が来ました。

今回はパス補完について説明します。これは、ほとんどの環境とソフトウェア製品（この場合、cmd.exeも例外ではありません）でTab / Shift-Tabを押すことで行われます。この機能が非常に有用で、多くの場合、目的のファイルまたはディレクトリのユーザーへのフルパスを手動で入力するのに費やされていた時間を節約できると主張する人はいないと思います。ただし、cmd.exeにも存在するのは素晴らしいことですが...

試しましょう。 cmd.exe（Win-R-> cmd）を実行し、コマンド「CD C：/」の入力を開始し、Tabを押します。「Program Files」や「Windows」などの予想されるディレクトリの代わりに、％HOMEPATH％から最初のアルファベットオブジェクトを取得します。「一緒に立ち往生」と「C：/」（私の場合、「C：/。Vim」の形式で結果を出しました）。なんで？本質的にcmd.exeを頻繁に処理しなければならなかった人たちは、ここで問題が何であるかを既に理解していたと思います-スラッシュの代わりに、バックスラッシュを正しい自動補完に使用する必要があります（ところで、この点には他の例外があります）。これは、バックスラッシュではなくスラッシュだけがパス区切り文字として使用される他のシステム（* nixのような）でほとんどの時間を過ごす人にとっては特に珍しいことです。マイクロソフトが当時多くのユーザーに既に馴染みのスラッシュの代わりにこの特定の記号を使用することを決めた理由は、たとえばここで説明されています。さて、これに同意するか、デバッガ~~ファイル~~を選択してcmd.exeを調べる~~必要が~~あります。最初のパスを選択した場合、記事はないので、すべてがどこに向かっているのかをすでに把握しているはずです。

プロセスがどのように進み、どのようになったのか、カットの下で読んでください（慎重に、 多くのスクリーンショット ）。

まず、cmd.exeが突然ユーザー指定のディレクトリではなく、％HOMEPATH％のオブジェクトを検索することにした理由を確認する必要があります。

WinAPIを使用したディレクトリ内のオブジェクトの反復処理は、通常、 FindFirstFile 関数とFindNextFile関数、およびFindFirstFileEx 、 FindFirstFileTransactedなどの形式のバリエーションを使用して行われます。 OllyDbgを起動し、それに cmd.exeをロードし（もちろん、以前に "％WINDIR％\ system32"以外のディレクトリにコピーしました）、相互モジュラー呼び出しのリストでウィンドウを開きます（CPUウィンドウを右クリック->すべての相互モジュラー呼び出し））、「FindFirstFile」と記述し、F2キーを使用してすべての呼び出しにブレークを設定します。

調べているコマンド「CD C：/」を入力し、Tabキーを押すと、目の前に次の画像が表示されます。

FindFirstFileEx関数に渡される最初の引数に注意してください-ドキュメントによると、検索を実行する基準を設定するのは彼です。

lpFileName [入力]

ディレクトリまたはパス、およびファイル名。ワイルドカード文字を含めることができます。たとえば、アスタリスク（*）または疑問符（？）

私の場合、彼はユニコード文字列「C：\ Program Files \ *」が格納されているアドレス0x0030F660を指しています。なぜ彼女なのか？はい、CDコマンドを入力した時点でそこにいたためです。

スラッシュの代わりにバックスラッシュを使用して同じことをしましょう。 F9を押して、コマンド「CD C：\」に続けてTabを入力し、以下を参照します

はい、現在、この引数は文字列「C：\ *」を指しています。したがって、パスセパレーターとしてスラッシュを使用する場合、cmd.exeは現在のディレクトリの自動補完に適したオブジェクトを実行します。

Alt-Kキーを押すと開くコールスタックから、すべてのプロシージャのコールを実行します。いずれかのプロシージャの近くにあるユーザーから送信されたコマンドの解析に似たものが表示されます。

この手順の最初にブレークを置き（私の場合は0x4ACE1877 ）、F9を押し、バックスラッシュとTabを使用してコマンドを入力し、ステップバイステップのデバッグを開始します。 F7を押して間もなく、ユーザーが入力したコマンドのすべての文字を実行するサイクルにいることに気付きます。

EBP + 8はコマンドでUnicode文字列を指し、 EBP + 10はコマンドの長さを含み、 EDIはループカウンターです。

このサイクルのほぼ直後に、 std :: memcpy関数の呼び出しが見つかりました。その結果、バックスラッシュを使用すると、destは「C：\」を取得します。

、およびスラッシュの場合、空の行：

さて、その作業のアルゴリズムを高レベルのプログラミング言語に変換することにより、このサイクルで何が起こるかを理解してみましょう。 IDA Proはコードを逆コンパイルできますが、残念ながらかなりのお金を要求するので、自分でC ++に翻訳してみましょう。

#include <cstddef> #include <cstring> #include <cwchar> #include <iostream> #include <string> int main() { std::wstring command; std::getline(std::wcin, command); auto command_size = command.size(); int ebx = -1; int esi = 0; int edx = 0; const int ebp_24 = 0; // Always 0 in our case cause it changes in the '"' branch // Not actually used in our case int ebp_1c = 0; int ebp_28 = 0; int ebp_2c = 0; /** * 4ACE18C7 | > / 897D D0 / MOV DWORD PTR SS : [EBP - 30], EDI * 4ACE18CA | . | 8B45 10 | MOV EAX, DWORD PTR SS : [EBP + 10] * 4ACE18CD | . | 3BF8 | CMP EDI, EAX * 4ACE18CF | . | 0F8D 90000000 | JGE cmd.4ACE1965 */ for (std::wstring::size_type i = 0; i < command_size; ++i) { /** * 4ACE18D5 | . 8B45 08 | MOV EAX, DWORD PTR SS : [EBP + 8] * 4ACE18D8 | . 0FB70478 | MOVZX EAX, WORD PTR DS : [EAX + EDI * 2] */ const wchar_t cur_symbol = command[i]; // 4ACE18DC | . 66:83F8 2F | CMP AX, 2F if (cur_symbol == L'/') { /** * 4ACE18E2 | . 8D77 01 | LEA ESI, DWORD PTR DS : [EDI + 1] * 4ACE18E5 | . 8975 D8 | MOV DWORD PTR SS : [EBP - 28], ESI */ esi = i + 1; ebp_28 = esi; } else if (cur_symbol == L'"') { // ... } // 4ACE18F0 | . 3955 DC | CMP DWORD PTR SS : [EBP - 24], EDX if (ebp_24 == edx) { /** * 4ACE190C | . 50 | PUSH EAX; / w * 4ACE190D | . 68 E008D04A | PUSH cmd.4AD008E0; | wstr = " &()[]{}^=;!%'+,`~" * 4ACE1912 | .FF15 F010CC4A | CALL DWORD PTR DS : [<&msvcrt.wcschr>]; \wcschr * 4ACE1918 | . 59 | POP ECX * 4ACE1919 | . 59 | POP ECX * 4ACE191A | . 85C0 | TEST EAX, EAX */ if (std::wcschr(L" &()[]{}^=;!%'+,`~", cur_symbol) != NULL) { /** * 4ACE191E |. 8D77 01 |LEA ESI,DWORD PTR DS:[EDI+1] * 4ACE1921 |. 8975 D8 |MOV DWORD PTR SS:[EBP-28],ESI * 4ACE1924 |. 8365 E4 00 |AND DWORD PTR SS:[EBP-1C],0 * 4ACE1928 |. 33D2 |XOR EDX,EDX */ esi = i + 1; ebp_28 = esi; ebp_1c = 0; edx = 0; } else { // 4ACE192C | > \33D2 | XOR EDX, EDX edx = 0; /** * 4ACE1935 | . 66:83F8 3A | CMP AX, 3A * 4ACE1939 | . 74 1B | JE SHORT cmd.4ACE1956 * 4ACE193B | . 66 : 83F8 5C | CMP AX, 5C * 4ACE193F | . 74 15 | JE SHORT cmd.4ACE1956 */ if (cur_symbol == L':' || cur_symbol == L'\\') { /** * 4ACE1956 | > \8D5F 01 | LEA EBX, DWORD PTR DS : [EDI + 1] * 4ACE1959 | . 895D D4 | MOV DWORD PTR SS : [EBP - 2C], EBX * 4ACE195C | > 8955 E4 | MOV DWORD PTR SS : [EBP - 1C], EDX */ ebx = i + 1; ebp_2c = ebx; ebp_1c = edx; } else if (cur_symbol == L'*' || cur_symbol == L'?') { // ... } } } } /** * 4ACE1965 |> \83FB FF CMP EBX,-1 * 4ACE1968 |. 74 04 JE SHORT cmd.4ACE196E * 4ACE196A |. 3BDE CMP EBX,ESI * 4ACE196C |. 7D 05 JGE SHORT cmd.4ACE1973 */ if (ebx == -1 || ebx < esi) { /** * 4ACE196E | > \8BDE MOV EBX, ESI * 4ACE1970 | . 895D D4 MOV DWORD PTR SS : [EBP - 2C], EBX */ ebx = esi; ebp_2c = ebx; } /** * 4ACE1973 | > \2BC6 SUB EAX, ESI * 4ACE1975 | . 03C0 ADD EAX, EAX * 4ACE1977 | . 8BF8 MOV EDI, EAX * 4ACE1979 | . 57 PUSH EDI; / n * 4ACE197A | . 8B45 08 MOV EAX, DWORD PTR SS : [EBP + 8]; | * 4ACE197D | . 8D0470 LEA EAX, DWORD PTR DS : [EAX + ESI * 2]; | * 4ACE1980 | . 50 PUSH EAX; | src * 4ACE1981 | .FF75 E0 PUSH DWORD PTR SS : [EBP - 20]; | dest * 4ACE1984 | .E8 52FAFDFF CALL <JMP.&msvcrt.memcpy>; \memcpy */ const std::size_t count = (command_size - esi) * 2; wchar_t dest[1024] = { 0 }; std::memcpy(dest, command.substr(esi).c_str(), count); std::wcout << "Result: " << dest << std::endl; }

コメント「// ...」でマークされた場所は、検討中のケースでは影響を受けません。

「*」や「\」などの文字は、ASCIIコードテーブルを使用して定義されました。

入力を試してみると、次のことがわかります。

CD C：\

結果：C：\

CD C：/

結果：

CD C：\ Windows \

結果：C：\ Windows \

CD C：/ Windows \

結果：Windows \

スラッシュは、ユーザーが入力したパスの最後（少なくとも最後、少なくとも中央）のどこにあるかに関係なく、問題を引き起こすことが容易にわかります。

解決策は、cmd.exeがオートコンプリートを実行する必要があると認識した直後に、すべてのスラッシュをバックスラッシュに置き換えることです。これを行うには、反対側からアプローチすることを提案します。ユーザーが標準入力ストリームからデータを入力した直後に、段階的なデバッグを実行することです。

ただし、stdinからのデータの読み取りはさまざまな方法で実行できます。 cmd.exeで何が正確に使用されているかを理解する方法は？非常に簡単です-F9キーを押してからF12キー（一時停止）を押し、コールスタックを見て、呼び出しの中でReadConsoleというWinAPI関数を確認します。

デフォルトでは、 ReadConsoleはEnterキーを押した後、呼び出し元のコードに制御を返しますが、明らかにこれはそうではありません。たとえば、Tabキーを押した後、作業を完了する必要があります。

ソフトウェアブレーカーを呼び出してトリガーします。

ここでpReservedと呼ばれる最後のパラメーターに注意してください。実際、これはpInputControlと呼ばれ、次の役割を果たします。

pInputControl [入力、オプション]

読み取り操作の終了を知らせる制御文字を指定するCONSOLE_READCONSOLE_CONTROL構造体へのポインター。このパラメーターはNULLにすることができます

私たちの場合、それはまったくNULLではないため、 CONSOLE_READCONSOLE_CONTROL構造がどのように見えるかを見てみましょう。

 typedef struct _CONSOLE_READCONSOLE_CONTROL { ULONG nLength; ULONG nInitialChars; ULONG dwCtrlWakeupMask; ULONG dwControlKeyState; } CONSOLE_READCONSOLE_CONTROL, *PCONSOLE_READCONSOLE_CONTROL;

生のバイトを見るのはあまり便利ではないので、StollyStructsと呼ばれる特別なOllyDbgプラグインを使用しましょう。これは、構造を視覚化するために特別に設計されています。 .dllと.iniをダウンロードして、実行可能ファイルOllyDbgがあるディレクトリに解凍し（もちろん、デフォルトでプラグインのパスとして指定されている場合）、デバッガを再起動します。 cmd.exeを再起動すると、アドレスが変更される場合がありますが、ほとんどの場合、アドレスの「終了」は同じままです。たとえば、以前興味のあるReadConsole呼び出しが0x4ACD3589にあった場合、おそらく0xXXXXX589の形式のアドレスになります。

ブレークポイントを配置して停止し、[プラグイン]-> [StollyStruct]-> [構造の選択]をクリックし、 pInputControl引数として渡されたアドレスを[アドレス]フィールドに入力します。まあ、著者は、WinAPIからのすべての構造が事前に設定されることを約束しませんでした。 2つのオプションがあります-この構造の説明をプラグイン構成ファイルに追加するか、興味のある構造に似た別の構造を使用します。私が最初に思いついたのはRECT構造で、これには4つのフィールドが含まれていますが、ULONGの代わりにLONGを使用しているという唯一の違いがあります。

 typedef struct _RECT { LONG left; LONG top; LONG right; LONG bottom; } RECT, *PRECT;

その結果、次のものが得られます。

入力を停止するための文字は、 dwCtrlWakeupMaskフィールドを使用して指定されます。

dwCtrlWakeupMask

読み取りが完了したことを通知するために使用されるユーザー定義の制御文字

ご覧のとおり、この例では、値0x200が含まれています。これは、ビットシフト演算1 << 0x9の結果として取得されました。0x9はTabのASCIIコードです。

ユーザーがEnterまたはTabを入力した後、 ReadConsole関数からのリターンが実行されるようにしました。それでは、ステップバイステップのデバッグに戻りましょう。

少し実行した後、ユーザーが入力したコマンド内のすべての文字を反復処理する別のループを見つけます。

ここで、 EDIはコマンドでUnicode文字列を指し、 EAXはループカウンターです。

ご覧のとおり、各文字は最初に0x0Dと比較され、次に0x4A1640A0の値と比較され 、次に0x4A1640A4のコンテンツと比較されます。 ASCIIコードの表を見ると、0x0Dはキャリッジリターンにすぎないことがわかります。前に示したアドレスには、同じ値0x9が格納されます。これは、前述のように、TabのASCIIコードです。

また、現在の文字がTabと等しい場合に遷移が実行されるアドレスからそれほど遠くないところに、転送されたコマンドの解析コードがあります。まあ、私の意見では、これは私たちのコード洞窟への移行を置くのが最善の場所です。

その中で何をしますか？私は次のことを提案します-行の終わりから最初まで行き、各文字をスラッシュと等しいかどうかを最初のスペース文字までチェックし、バックスラッシュに置き換えます。次のようになります。

 PUSHFD PUSHAD ;   ,     TEST EAX,EAX JZ l1 ;    (    ;  ,    Tab') l4: DEC EAX ;   ECX   MOVZX ECX,WORD PTR DS:[EDI+EAX*2] CMP CX,2F ;   forward slash JE l2 CMP CX,20 ;    JE l1 JMP l3 l2: ;  forward slash  backslash MOV WORD PTR DS:[EDI+EAX*2],5C l3: ;     ,     TEST EAX,EAX ;        JNZ l4 l1: POPAD POPFD ;    ,   ;     JMP 4ACD42CD

コードケイブの場所を見つけ（Ctrl-B-> "HEX + 0C"フィールドに多数のゼロを挿入して）、次のコードを記述します（もちろん、アドレスは異なる場合があります）。

 4A163CC5 9C PUSHFD 4A163CC6 60 PUSHAD 4A163CC7 85C0 TEST EAX,EAX 4A163CC9 74 1D JE SHORT cmd.4A163CE8 4A163CCB 48 DEC EAX 4A163CCC 0FB70C47 MOVZX ECX,WORD PTR DS:[EDI+EAX*2] 4A163CD0 66:83F9 2F CMP CX,2F 4A163CD4 74 08 JE SHORT cmd.4A163CDE 4A163CD6 66:83F9 20 CMP CX,20 4A163CDA 74 0C JE SHORT cmd.4A163CE8 4A163CDC EB 06 JMP SHORT cmd.4A163CE4 4A163CDE 66:C70447 5C0>MOV WORD PTR DS:[EDI+EAX*2],5C 4A163CE4 85C0 TEST EAX,EAX 4A163CE6 ^ 75 E3 JNZ SHORT cmd.4A163CCB 4A163CE8 61 POPAD 4A163CE9 9D POPFD 4A163CEA ^ E9 DE05FFFF JMP cmd.4A1542CD

ここで、 0x4A1542CDは、 0x4A154299にある条件分岐の結果として移動する必要があったアドレスであり、Tabのコマンドで現在の文字が等しいかどうかを確認します。その遷移はそれぞれ、コードケイブのジャンプに置き換えられます。

彼が次の指示を消したことにすでに気づいたと思います。実際には、現在のキャラクターが同じタブに等しいかどうかの同様のチェックでしたが、他の方法でそれに到達することは不可能だったので、大丈夫です。これを確認するには、変更を強調表示し、Alt-Backspaceを使用してすべてをそのまま返し、この命令で行を選択し、Ctrl-Rを押します。同じアドレスの1つの行があります。

操作性をチェックします... Tabを押すと、スラッシュは実際にバックスラッシュに置き換えられます。その結果、ユーザーが最初に使用したスラッシュに関係なく、ユーザーが指定したディレクトリで自動補完が実行されます。

あとがき

これらはすべて些細なことだと誰かが言うかもしれません。マイクロソフトの開発者ではなく、私たちがこの問題を解決するという事実を好まない人がいるかもしれません。 ~~誰も何も好きでないかもしれません~~ 。しかし、事実は残っています-私たちは問題を解決し、今ではcmd.exeが記事の冒頭で思い通りに機能するようになりました。そして、それを行うかどうかは、あなた次第です。

公平に言えば、 PowerShellでは、この「問題」と、CDコマンドの「/ D」キーの状況がまだ修正されていたことに注目する価値があります。

ご清聴ありがとうございました。また、この記事が誰かに役立つことを願っています。

cmd.exeの「歴史的理由」を引き続き扱います

あとがき

More articles: