ARM64汇编0C - inlinehook

本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验

完整系列博客地址:https://www.lyldalek.top/article/arm

这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。

ARM64 相比 ARM 的 inlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。

ARM64处理器下是兼容ARM32指令集的,因此,ARM64处理器上可以运行ARM64,ARM32,Thumb-2(Thumb16+Thumb32)三套指令,但是这里我们只讨论 ARM64 模式。

流程图

inlinehook是实现对一个指定函数的hook,其大致流程如下图:

首先,需要替换目标函数的头部的指令,将pc的值修改为hook函数的地址,跳转过去执行。

对于被覆盖的指令,我们将其放入hook函数中执行,对应图中的红色部分,这里会遇到非常多的问题,有兴趣的自行查找资料。

hook函数执行完之后,需要将 pc 的值修改为覆盖指令的下一条指令地址,然后跳转过去执行。

在这些过程中,我们需要保证寄存器在执行hook函数前后的值是一样的,执行的覆盖指令也不能修改寄存器,除非先将寄存器的值储存起来。

方案设计

第一步——原程序插桩

设计思路是:首先插桩代码最基本的是要一个跳转功能。ARM64中PC不让直接读写,那我们怎么改变PC呢?通常程序跳转都有两类方法:相对寻址和直接寻址。

相对寻址是有距离限制的,由于我们的hook程序也是一个so,它的位置是不固定的,且目标so的位置也是不固定的,所以这两个so的距离也是不固定的,使用相对寻址很不明智。

直接寻址,ARM64中有BR X??可以直接把程序跳转到X??寄存器中存储的64位地址上。那么,这时候的方案就应该是:

LDR X0, [TARGET_ADDRESS] 
BR X0

但是,这样会破坏X0中原本的值,所以,我们需要储存一些 X0 的值:

STP X1, X0, [SP, #-0x10]
LDR X0, [TARGET_ADDRESS]
BR X0

上面的第一个指令就是把X1,X0保存到栈上,这里的X1当然是多余的,纯属是为了满足ARM64上栈要16字节对齐且没有PUSH指令可用的约束。

既然,我们改了栈,那么就需要平衡栈,所以,那最后跳转回原程序时,我们需要将栈的值修改回来:

STP X1, X0, [SP, #-0x10]
LDR X0, [TARGET_ADDRESS]     ; TARGET_ADDRESS 是一个动态值,编译后会需要更多的指令来实现
BR X0
LDR X0, [SP, -0x8]

这里,就与我们设想的流程稍微有点区别,我们需要等hook函数执行完之后,跳转到上面的最后一行指令执行,恢复 X0 寄存器的值。

这里有个需要注意的地方,就是我们的插桩指令至少有4条,占据了16字节,如果函数体很小的话,那么hook就会导致错误。所以这里是一个优化点。

第二步——hook程序

我们在这里需要先保存所有寄存器的值,保存了寄存器的值之后,就可以使用这些寄存器了,保存结构如下:

对应的指令如下:

sub     sp, sp, #0x20          ;sp = sp - 0x20,也就是指针向上移动2格mrs     x0, NZCV               ;将状态寄存器的值储存到 x0
str     x0, [sp, #0x10]        ;将x0(状态寄存器)的值储存到 sp + 0x10 处,也就是图中的 PSR
str     x30, [sp]              ;将x30的值储存到 sp 处,图中的X30 LR
add     x30, sp, #0x20         ;X30 = sp + 0x20
str     x30, [sp, #0x8]        ;将 sp + 0x20 的值储存到 sp + 0x8处,就是储存原来的 sp值,图中的origin_sp
ldr     x0, [sp, #0x18]        ;将 sp + 0x18 的值给 X0,让 X0 指向栈顶sub     sp, sp, #0xf0          ;分配空间储存 X0 - X29 寄存器
stp     X0, X1, [SP]
stp     X2, X3, [SP,#0x10]
stp     X4, X5, [SP,#0x20]
stp     X6, X7, [SP,#0x30]
stp     X8, X9, [SP,#0x40]
stp     X10, X11, [SP,#0x50]
stp     X12, X13, [SP,#0x60]
stp     X14, X15, [SP,#0x70]
stp     X16, X17, [SP,#0x80]
stp     X18, X19, [SP,#0x90]
stp     X20, X21, [SP,#0xa0]
stp     X22, X23, [SP,#0xb0]
stp     X24, X25, [SP,#0xc0]
stp     X26, X27, [SP,#0xd0]
stp     X28, X29, [SP,#0xe0]

由于没有了LDM/STM指令,我们向栈上存大量寄存器只能一对一对的来。

接下来,我们可以执行之前被覆盖的代码了,这里不演示,后面写一个demo具体来看。

然后就是恢复寄存器:

ldr     x0, [sp, #0x100]     ;将储存PSR的地址赋值给 X0
msr     NZCV, x0             ;恢复状态寄存器的值ldp     X0, X1, [SP]         ;恢复X0,X1 的值
ldp     X2, X3, [SP,#0x10]
ldp     X4, X5, [SP,#0x20]
ldp     X6, X7, [SP,#0x30]
ldp     X8, X9, [SP,#0x40]
ldp     X10, X11, [SP,#0x50]
ldp     X12, X13, [SP,#0x60]
ldp     X14, X15, [SP,#0x70]
ldp     X16, X17, [SP,#0x80]
ldp     X18, X19, [SP,#0x90]
ldp     X20, X21, [SP,#0xa0]
ldp     X22, X23, [SP,#0xb0]
ldp     X24, X25, [SP,#0xc0]
ldp     X26, X27, [SP,#0xd0]
ldp     X28, X29, [SP,#0xe0]
add     sp, sp, #0xf0         ;将 sp 的值指向X30 LR位置ldr     x30, [sp]             ;恢复 X30 寄存器
add     sp, sp, #0x20         ;将 sp 的值还原,origin_sp没用到

恢复寄存后,我们还需要再跳转到原函数继续执行,执行覆盖指令的最后一行:

ldr   x0, ret_addr
br    x0

这样,一个hook方案的框架就设计好了。

例子

我们尝试对libc.so 中的 fopen 函数进行 inlinehook。

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/mman.h>
#include <dlfcn.h>int main()
{void *handle = dlopen("libc.so", RTLD_NOW);void *hook_addr = dlsym(handle, "fopen");printf("hook_addr = %p\n", hook_addr);return 0;
}

使用,dlopen 与 dlsym 找到 fopen 函数的地址:

sailfish:/data/local/tmp # ./inlinehook                                      
hook_addr = 0x724f5433d4

运行编译后的程序,确认可以正确的获取到地址。如果是32位的so,这个地址可能是一个奇数,说明它是thumb模式。

接下来,我们编写hook函数,需要注意的是编译器对于一般的函数都会生成 prolog 和 epilog 代码,由于我们需要完全控制 hook 函数生成的汇编指令,所以需要使用裸函数,或者直接写汇编。

void __attribute__((naked)) hook_func()
{}

我们需要覆盖 fopen 函数的头部指令,需要就需要对 .text 段修改,由于 .text 是没有写权限的,所以需要使用 mprotect 函数来获取写权限。

mprotect((void *)((uint64_t)hook_addr & 0xfffffffffffff000), 0x1000, PROT_WRITE | PROT_EXEC | PROT_READ);

可以查看 /proc/pid/maps 文件,看看是否生效:

7454e64000-7454edc000 r-xp 00000000 103:12 946                           /system/lib64/libc.so
7454edc000-7454edd000 rwxp 00078000 103:12 946                           /system/lib64/libc.so
7454edd000-7454f2c000 r-xp 00079000 103:12 946                           /system/lib64/libc.so

可以看到,确实有一个段的权限变成了 rwx。

现在,可以开始覆盖指令了,但是蛋疼的地方出现了,在 ARM32 中,就非常的简单,只需要使用 LDR 就行:

LDR pc, [pc-4]
hook_func_addr

上面的这两条指令,第一条是将下一条指令内容赋值给PC,所以,第二条指令其实不是一个真实的指令,而是hook函数的地址,这样非常简单的实现了hook函数的跳转。

在ARM64中,我们无法操作pc寄存器,只能使用 B 指令来进行跳转:

LDR X0, [TARGET_ADDRESS]
BR X0
LDR X0, [SP, -0x8]

这里出现一个问题,TARGET_ADDRESS 是一个动态值,我们没办法在编译的时候确定。那该怎么办呢?需要采用一种特殊的写法:

STP X1, X0, [SP, #-0x10]   ;储存 x0,x1
LDR X0, 8                  ;将pc+8的地址处内容给x0
BR X0                      ;跳转到x0对应的地址
ADDR(64)                   ;目标地址
LDR X0, [SP, -0x8]         ;让x0指向栈顶

ADDR 是hook函数地址,将这个地址给X0,然后使用 BR X0 进行跳转。注意这个地址占据了8个字节,所以实际上相当于6条指令。

LDR X0, 8 这个需要特别解释一下,这个 ida 的 patch program 生成的偏移是相对于 so 的基址的,不是相对于 pc,想要生成相对于 pc 的指令,需要按下面的写法:

LDR X0, .+8

我看了一个开源项目,它是直接使用的 LDR X0, 8,不知道是不是汇编语言写法处理方式不一样。

在IDA中,生成这些指令的汇编代码,然后覆盖掉 fopen 的函数起始地址的6条指令:

// 指令是4字节的,使用 uint32,地址使用 unit64// STP X8, X0, [SP, #-0x60]  -> E8 03 3A A9
(*(uint32_t *)(hook_addr + 0)) = 0xA93A03E8;// LDR X0, 8 -> 40 00 00 58
(*(uint32_t *)(hook_addr + 4)) = 0x58000040;// BR X0  -> 00 00 1f d6
(*(uint32_t *)(hook_addr + 8)) = 0xd61f0000;// ADDR  -> 00 00 1f d6,这里要用64位
(*(uint64_t *)(hook_addr + 12)) = hook_func;// 被覆盖的指令操作了sp,所以需要合并计算sp的值(-0x60+0x50)
// LDR X0, [SP, #-0x10]  -> E0 03 5F F8
(*(uint32_t *)(hook_addr + 20)) = 0xF85F03E0;

这里有一些细节需要注意:

  1. 我们在 sp - 0x60 的位置写入了 X8 与 X0,这是因为我们覆盖的 fopen 指令它会操作sp,它的函数栈大小是 0x50,所以我就将X8 与 X0 放到了 fopen 操作不到的位置,避免覆盖的指令修改栈中的数据导致我们的储存的数据丢失。

  2. 存放 X8 是因为后面,我们生成跳转回来的指令时,gcc 使用到了 X8。

  3. 存放 X0 是因为我们跳转使用的是 X0 寄存器,所以需要储存,后面也要还原。

覆盖指令写好之后,我们就可以写 hook 函数了:

void __attribute__((naked)) hook_func()
{// 获取参数asm("ldr x0, [sp, #-0x58]");asm("str x0,%0":"=m"(x0));// 执行被覆盖的指令// .text:00000000000783D4 FF 43 01 D1                   SUB             SP, SP, #0x50           ; Alternative name is 'fopen'// .text:00000000000783D8 F7 0B 00 F9                   STR             X23, [SP,#0x10]// .text:00000000000783DC F6 57 02 A9                   STP             X22, X21, [SP,#0x20]// .text:00000000000783E0 F4 4F 03 A9                   STP             X20, X19, [SP,#0x30]// .text:00000000000783E4 FD 7B 04 A9                   STP             X29, X30, [SP,#0x40]// .text:00000000000783E8 FD 03 01 91                   ADD             X29, SP, #0x40asm("SUB             SP, SP, #0x50");asm("STR             X23, [SP,#0x10]");asm("STP             X22, X21, [SP,#0x20]");asm("STP             X20, X19, [SP,#0x30]");asm("STP             X29, X30, [SP,#0x40]");asm("ADD             X29, SP, #0x40");// 跳转到返回地址,这个语句生成的汇编,用到了 x8 寄存器asm("ldr x0, %0" ::"m"(hook_return_addr));// 还原 x8 寄存器的值asm("ldr x8, [sp, #-0x8]");asm("br x0");
}

hook 函数我写的比较简单,主要做了3件事:

  • 获取 X0 的值,因为X0是第一个参数,我们可以将 X0 赋值给一个全局变量,然后打印出来看是否hook成功

  • 执行被覆盖的指令,这个很简单,将 fopen 的前6条指令 copy 过来就行了

  • 执行完之后,要跳转回 fopen 继续执行,我们是先计算出了指令的地址,然后使用行内汇编来生成对应的指令

除了使用行内汇编,还可以直接使用汇编来实现,这个我也不太熟,简单介绍一下。

首先在汇编文件里面定义一个变量:

.global _shellcode_start_s

然后,将这个变量当成标号使用:

_shellcode_start_s:sub     sp, sp, #0x20

在别的C文件里面,使用 extern 就可以直接引用这变量了:

extern unsigned long _shellcode_start_s;oid *p_shellcode_start_s = &_shellcode_start_s;

这样,我们就拿到了hook函数的起始地址。有兴趣的可以看下 GitHub 的相关开源项目。

源码

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/mman.h>
#include <dlfcn.h>static uint64_t hook_return_addr;
static uint64_t x0, x1;void __attribute__((naked)) hook_func()
{// 获取参数asm("ldr x0, [sp, #-0x58]");asm("str x0,%0" : "=m"(x0));asm("str x1,%0" : "=m"(x1));// 执行被覆盖的指令// .text:00000000000783D4 FF 43 01 D1                   SUB             SP, SP, #0x50           ; Alternative name is 'fopen'// .text:00000000000783D8 F7 0B 00 F9                   STR             X23, [SP,#0x10]// .text:00000000000783DC F6 57 02 A9                   STP             X22, X21, [SP,#0x20]// .text:00000000000783E0 F4 4F 03 A9                   STP             X20, X19, [SP,#0x30]// .text:00000000000783E4 FD 7B 04 A9                   STP             X29, X30, [SP,#0x40]// .text:00000000000783E8 FD 03 01 91                   ADD             X29, SP, #0x40// .text:00000000000783EC 56 D0 3B D5                   MRS             X22, #3, c13, c0, #2// .text:00000000000783F0 C9 16 40 F9                   LDR             X9, [X22,#0x28]asm("SUB             SP, SP, #0x50");asm("STR             X23, [SP,#0x10]");asm("STP             X22, X21, [SP,#0x20]");asm("STP             X20, X19, [SP,#0x30]");asm("STP             X29, X30, [SP,#0x40]");asm("ADD             X29, SP, #0x40");// 跳转到返回地址,这个语句生成的汇编,用到了 x8 寄存器asm("ldr x0, %0" ::"m"(hook_return_addr));// 还原 x8 寄存器的值asm("ldr x8, [sp, #-0x8]");asm("br x0");
}int main()
{void *handle = dlopen("libc.so", RTLD_NOW);void *hook_addr = dlsym(handle, "fopen");if (hook_addr != NULL){hook_return_addr = hook_addr + 20;}else{return -1;}printf("hook_addr = %p\n", hook_addr);// 这里改变了 0x1000 这个范围的数据的属性mprotect((void *)((uint64_t)hook_addr & 0xfffffffffffff000), 0x1000, PROT_WRITE | PROT_EXEC | PROT_READ);// getchar();// 指令是4字节的,使用 uint32,地址使用 unit64// STP X8, X0, [SP, #-0x60]  -> E8 03 3A A9(*(uint32_t *)(hook_addr + 0)) = 0xA93A03E8;// LDR X0, 8 -> 40 00 00 58(*(uint32_t *)(hook_addr + 4)) = 0x58000040;// BR X0  -> 00 00 1f d6(*(uint32_t *)(hook_addr + 8)) = 0xd61f0000;// ADDR  -> 00 00 1f d6,这里要用64位(*(uint64_t *)(hook_addr + 12)) = hook_func;// 被覆盖的指令操作了sp,所以需要还原// LDR X0, [SP, #-0x10]  -> E0 03 5F F8(*(uint32_t *)(hook_addr + 20)) = 0xF85F03E0;printf("hook_func = %p\n", hook_func);getchar();FILE *fp = fopen("/data/local/tmp/android_server64", "rb");uint32_t data;fread(&data, 4, 1, fp);fclose(fp);printf("data = %p\n", data);printf("x0 = %s\n", x0);printf("x1 = %s\n", x1);return 0;
}

运行程序,输出:

sailfish:/data/local/tmp # ./inlinehook                         
hook_addr = 0x7c1015a3d4
hook_func = 0x5d3d3099d4data = 0x464c457f
x0 = /data/local/tmp/android_server64
x1 = rb

可以看到我们成功的hook了 fopen 函数:

  • data 是 so 文件的前4个字节,就是 .elf

  • x0 与 x1 是参数

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/361387.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

前端 CSS 经典:backface-visibility 属性

前言&#xff1a;backface-visibility 属性可以使反转 180deg 的元素隐藏&#xff0c;使用这个属性实现卡片翻转效果 效果 代码实现 <!DOCTYPE html> <html lang"en"><head><meta charset"utf-8" /><meta http-equiv"X-…

uniapp H5端使用百度地图

1、登录百度地图开放平台 https://lbsyun.baidu.com/&#xff08;没有账号则先去创建一个百度账号&#xff09; 2、进入百度地图开放平台控制台&#xff08;导航栏“控制台”&#xff09;&#xff0c;点击“应用管理”-“我的应用” 3、选择“创建应用”&#xff0c;应用模块选…

环球赛乐科技有限公司与北京城市学院共建实习“绿色通道”

环球赛乐&#xff08;北京&#xff09;科技有限公司&#xff08;简称“赛氪网”&#xff09;与北京城市学院近日宣布&#xff0c;双方将合作开通顶岗实习“绿色通道”&#xff0c;旨在为实习生提供高质量的实践机会和就业平台。此次合作不仅体现了校企合作的深度融合&#xff0…

1.Android逆向协议-环境搭建

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 内容参考于&#xff1a;易锦网校 不是安卓逆向吗&#xff1f;为什么写java代码&#xff1f;因为逆向的时候涉及java语言 JDK环境搭建&#xff1a;JDK是JAVA语…

深度相机辅助导航避障(三):地面点云滤除

前面的章节介绍了坐标变换,以及如何设置深度相机的坐标变换。那就可以很直观从机器人的坐标系对深度相机扫描到的障碍物点云进行处理。 在实际应用中,机器人正确估计周围地形,对于道路的可通过性、路径规划和障碍物检测等方面都很重要。那么在获取深度相机点云数据后就得准…

论文学习_基于导向式模糊测试的二进制程序漏洞验证方法

1. 引言 研究背景及现存问题:基于代码相似性比较的漏洞检测方法属于静态分析方法,不可避免地存在误报率高的问题,对静态检测方法得到的疑似漏洞代码进行人工分析存在工作量大, 效率低的问题。解决该问题的有效的方案之一是使用导向式模糊测试方法,生成能够执行到疑似漏洞…

cesium for unity 打包webgl失败,提示不支持

platform webgl is not supported with HDRP use the Vulkan graphics AR instead.

Nginx调度器

Nginx反向代理 反向代理架构 部署后端Web1服务器 部署后端Web2服务器 配置Nginx服务器&#xff0c;添加服务器池&#xff0c;实现反向代理功能 proxy主机安装nginx 修改/usr/local/nginx/conf/nginx.conf配置文件 重新加载配置 客户端使用火狐浏览器或curl多次访问p…

JAVA二手车交易二手车市场系统源码支持微信小程序+微信公众号+H5+APP

&#x1f697;二手车交易系统小程序&#xff1a;让买卖更轻松&#x1f50d; 功能介绍 我的粉丝、我的关注、获赞、访客 我的动态、认证中心、我的团队、开通会员 免费估值、买二手车、我要卖车、车型选择 每日上新、底价专区、精准筛选、附近展厅商 车辆的详细信息、拨打电…

动态规划——123. 买卖股票的最佳时机 III

目录 1、题目链接 2、题目分析 1.状态表示 2.状态转移方程 3.初始化 4.填表 5.返回值 3、代码解析 1、题目链接 123. 买卖股票的最佳时机 III 2、题目分析 1.状态表示 由题目可知&#xff0c;我们分为两种状态&#xff0c;买入和卖出&#xff0c;又因为只能完成两次交易…

质点动力学

牛顿运动定律 动量守恒 动量定理 动量守恒定律 角动量守恒定律 动量与角动量的对比 例题 机械能守恒定律

cs与msf权限传递,以及mimikatz抓取win2012明文密码

mimikatz抓取win2012明文密码 一、启动cs服务端 二、启动cs客户端 三、创建监听器 四、生成脚本文件 五、选择存放路径 六、开启服务&#xff0c;让win2012能够通过网站下载 七、获得win2012控制权 八、抓取明文密码 mimikatz是可以抓明文的&#xff0c;mimikatz抓明文原理&a…

1966 ssm 流浪猫领养网站系统开发mysql数据库web结构java编程计算机网页源码eclipse项目

一、源码特点 ssm 流浪猫领养网站系统是一套完善的信息系统&#xff0c;结合springMVC框架完成本系统&#xff0c;对理解JSP java编程开发语言有帮助系统采用SSM框架&#xff08;MVC模式开发&#xff09;&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/…

动手学自然语言处理:解读大模型背后的核心技术

自从 ChatGPT 横空出世以来&#xff0c;自然语言处理&#xff08;Natural Language Processing&#xff0c;NLP&#xff09; 研究领域就出现了一种消极的声音&#xff0c;认为大模型技术导致 NLP “死了”。在某乎上就有一条热门问答&#xff0c;大家热烈地讨论了这个问题。 有…

【ajax实战03】拦截器

一&#xff1a;axios拦截器 拦截器分类&#xff1a; 请求拦截器以及响应拦截器 拦截器作用&#xff1a; 在请求或响应被then或catch处理前拦截它们 二&#xff1a;请求拦截器 作用&#xff1a; 发起请求之前&#xff0c;调用一个配置函数&#xff0c;对请求参数进行设置…

Python 爬虫从入门到入狱之路一

实际上爬虫一共就四个主要步骤&#xff1a; 明确目标 (要知道你准备在哪个范围或者网站去搜索)爬 (将所有的网站的内容全部爬下来)取 (去掉对我们没用处的数据)处理数据&#xff08;按照我们想要的方式存储和使用&#xff09; 我们在之前写的爬虫程序中&#xff0c;都只是获取…

【STM32-启动文件 startup_stm32f103xe.s】

STM32-启动文件 startup_stm32f103xe.s ■ STM32-启动文件■ STM32-启动文件主要做了以下工作&#xff1a;■ STM32-启动文件指令■ STM32-启动文件代码详解■ 栈空间的开辟■ 栈空间大小 Stack_Size■ .map 文件的详细介绍■ 打开map文件 ■ 堆空间■ PRESERVE8 和 THUMB 指令…

Java面试问题(一)

一.Java语言具有的哪些特点 1.Java是纯面向对象语言&#xff0c;能够直接反应现实生活中的对象 2.具有平台无关性&#xff0c;利用Java虚拟机运行字节码文件&#xff0c;无论是在window、Linux还是macOS等其他平台对Java程序进行编译&#xff0c;编译后的程序可在其他平台上运行…

微软Edge浏览器全解析

发展历程 微软Edge浏览器是一款现代化的浏览器&#xff0c;最初于2015年发布&#xff0c;作为Internet Explorer&#xff08;IE&#xff09;的继任者&#xff0c;并随着Windows 10操作系统一同亮相。然而&#xff0c;早期的Edge浏览器基于EdgeHTML引擎开发&#xff0c;与市场上…

《Windows API每日一练》5.4 键盘消息和字符集

本节我们将通过实例来说明不同国家的语言、字符集和字体之间的差异&#xff0c;以及Windows系统是如何处理的。 本节必须掌握的知识点&#xff1a; 第31练&#xff1a;显示键盘消息 非英语键盘问题 字符集和字体 第32练&#xff1a;显示默认字体信息 第33练&#xff1a;创建逻…