EQNEDT32.EXE 分析思路

Posted 2021-01-18 mint177

 

在EQNEDT32.EXE的字符串中我们可以看到如下内容

对OLE标准比较熟悉的读者可以发现，"x01Ole10Native"是一个常见的流名，从存储位置上来看，上方的data:00454080字符串大概率也是一个流名。我们来看一下对于这两个流的处理代码。

对于"x01Ole10Native"流的Xref引用只有一处，反编译后可以看到如下代码。

对流名的操作，且有一次Xref，一般来说只能是"打开(读取)"和"删除"操作。此处的代码逻辑很可能是读取流的内容，并写入到v10变量。那么a2的类型应该是IStorage*，而v10的类型应该是IStream*，在IDA中进行标注可得到以下信息。

虚函数表对应的结果与猜测基本一致。

代码第35行根据v12的值来判断读入流的字节数，如果不为0则读入4个字节，否则读入0x1C(28)个字节。

注意到第30行，当流名为"x01Ole10Native"的时候，v12的值为1，而根据[MS-OLEDS]的描述，这类流的前4个字节是后续数据的长度，此处的代码逻辑应该是根据不同的流名，解析不同的头部数据并分别处理。

在这个页面上，可以发现如下表述：

MTEF data is saved as the native data format of the object. Whenever an equation object is to be written to an OLE "stream", a 28-byte header is written, followed by the MTEF data. The C struct for this header is as follows:

struct EQNOLEFILEHDR {
    WORD    cbHdr;     // length of header, sizeof(EQNOLEFILEHDR) = 28 bytes
    DWORD   version;   // hiword = 2, loword = 0
    WORD    cf;        // clipboard format ("MathType EF")
    DWORD   cbObject;  // length of MTEF data following this header in bytes
    DWORD   reserved1; // not used
    DWORD   reserved2; // not used
    DWORD   reserved3; // not used
    DWORD   reserved4; // not used
};

第35行的v13就是一个EQNOLEFILEHDR类型的变量。在IDA中应用此结构体后我们可以得到如下内容。

此处的v14是刚才为公式数据所分配的内存空间，接下来直接开始分析以v14为参数的sub_42F8FF即可。

根据函数参数来看，应该只看第5行和第7行的函数就可以了。第5行大概率是根据公式数据内容a1初始化一个结构体v2，然后在第7行对这个结构体v2进行解析。

第5行的函数大致功能如下所示。

第7行的函数较为复杂，可以参照这个页面对各个字段进行研究。