OD 中 MFC 窗口回调函数定位

最新推荐文章于 2023-05-16 22:32:20 发布
原创 最新推荐文章于 2023-05-16 22:32:20 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了winClass中包含回调函数地址,且该地址在结构体中第二个。还提到RegisterClass参数是指针,其第二个成员是回调函数地址。此外,说明了在当前断点中下一个消息断点的操作,以及设置条件断点的方法,即[esp+8] == 消息ID。

瞎几吧写

 

winClass 中包含了回调函数的地址, 这个地址在结构体中第二个

RegisterClass  参数是一个指针, 而这个参数中的第二个成员就是我们要找的回调函数的地址, fllow in dis(进入回调函数中, 下一个断点)   在当前断点中下一个消息断点;

B -> edit condition        [esp+8]  ==  消息ID       条件断点    (esp+8)WindowProc的第二个参数为UINT message: 消息的ID;

push  lParam   sub esp, 4  mov ebx, dword ptr ds:[lparam] mov dword ptr ds:[esp], ebx
push  wParam   sub esp, 4  .......
push  message  sub esp, 4  ..
push  hWnd     sub esp, 4  ....


message  此时在堆栈中的位置  esp+8

 

 

 

博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.youkuaiyun.com/ccnyou/article/details/7642776
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
窗口窗口回调函数的查找
qq_41490873的博客
01-25 660
通过消息断点查找子窗口窗口过程 win32中 通过DialogBox函数创建一个对话框 `` 为主窗口提供一个窗口消息处理函数。而窗口内的各种控件不需要写处理函数,系统已经写好。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190124232407407.png?x-oss-process=image/watermark,type_ZmFuZ3poZW...
32位汇编第五讲,逆向实战干货,(OD)快速定位扫雷内存.
weixin_30409849的博客
09-16 318
      32位第五讲,逆向实战干货,快速定位扫雷内存. 首先,在逆向之前,大家先对OD有一个认识. 一丶OD的使用 标号1: 反汇编窗口 (显示代码的地址,二进制指令,汇编代码,注释) 标号2: 寄存器窗口(显示通用寄存器,段寄存器,以及浮点协处理器,32位中还有多媒体寄存器) 标号3: 信息窗口  (这个主要是显示当你运行到的程序的位置处的信息) 标号4: 数据窗口 ...
OD定位IsDebuggerPresent检测地址
二狗子的Blog
01-09 1385
编写个小程序,调用IsDebuggerPresent来检测调试器是否存在 2.打开原版汉化OD并附加到程序里,这里不能使用第三方OD,因为第三方OD集成了许多插件,有一定强度的反调试功能。 附加后,OD自动在模块入口处断下。 3.Ctrl+F9,执行到返回,程序跑起来之后再按Ctrl+N,调出来查看程序用了哪些模块命令。 找到了,这个程序调用了IsDebuggerPresent。 4.右...
OD调试MFC程序按钮事件的捕捉
ccnyou的专栏
06-07 1万+
经常在调试程序中需要捕捉某一按钮事件,分析按钮对应的代码(如“登陆”,“注册”等) 近来无事,自己写个程序来看看MFC的消息分发流程,然后总结地写了这文章:   示例程序MfcTest,下载链接:http://download.youkuaiyun.com/detail/ccnyou/4358961 编译环境VC6+WinXP 使用工具:OD(OllyDbg) 程序截图
逆向寻找MFC程序中消息回调函数地址
liuhaidon1992的博客
06-03 1138
用IDA打开exe文件,在Imports表中找到GetCommandMap函数,两次交叉引用,找到GetCommandMap在rdata数据段中的位置。GetMessageMap函数就在它上面 地址401250处代码如下 地址403618处数据如下 根据下面的源码,知道403540这里就是真正的函数地址 MFC中消息定义格式如下 地址403540的数据按照消息格式解析如下 和代码中一样 ...
WIN10 X64下通过TLS实现反调试
liuyez123的博客
04-27 9908
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS的反调试,原理实为在实际的入口点代码执行
扫雷小游戏逆向分析
ZK_1874的博客
10-28 3560
扫雷小游戏逆向分析
逆向分析-经典游戏扫雷
Nattevak
11-29 1031
一、需实现的功能 鼠标悬停在棋盘上时可以查出雷所在的位置 一键扫雷 二、分析思路 可以发现版本为VC2003,根据动态库可以看到msvrt.dll,此为微软的运行时库,可判断此程序为SDK程序,且未发现MFC的动态库,虽然也有可能是使用的静态编译,但是我们观察程序大小可以发现只有100多K,这样我们几乎是可以肯定这就是一个SDK程序(可以寻找WinMain函数,函数内部可能有CreateWindowExW/A) 1.动态调试(从API入手)——对函数下断点 ①GetWindowTextA/W,SetWi
OD 有关VC++的MFC
zhangmiaoping23的专栏
06-24 2293
00401649 E8 F4120000 call 0040164E 8D4C24 2C lea ecx,dword ptr ss:[esp+2C] 00401652 C68424 F004000>mov byte ptr ss:[esp+4F0],1 0040165A E8 E3120000 call 0040165F 8D4C24 28 lea ecx,dword ptr ss:[
回调函数理解的整理(某知乎大神写的)
小小希
03-02 5242
以前看到觉得好,在编译器里写了一遍,这次想找,居然忘了地方,所以还是放这里好 package com.example.callback; public class CallBack { } /*  * 通过中国好室友的例子来理解回调函数的概念  */ //有个学生要写作业,写作业的方法是现成的,但是需要作业作为入参,怎么获取作业才是关键 /*  *
【C/C++】回调函数详解&注册窗口类&LRESULT & CALLBACK详解以及游戏中的应用
20岁爱吃必胜客
11-12 2829
windows核心编程
回调函数
wkq87的专栏
09-02 461
窗口过程函数原型如下: LRESULT CALLBACK WindowProc( HWND hwnd, // handle to window UINT uMsg, // message identifier WPARAM wParam,
Win32子窗口创建,子窗口回调函数,消息堆栈,逆向定位窗口消息处理过程
WdIg-2023的博客
05-16 2404
本专栏上一篇文章中我们讲解了Win32程序入口识别,定位回调函数,具体事件处理的定位,这一章节中我们来讲解一下子窗口的创建,子窗口回调函数,并且逆向分析子窗口消息处理过程。
OD使用之查找 API的方法
nethm的专栏
09-26 9735
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
逆向分析之核心代码的定位
charge_release的博客
10-18 2131
逆向一般是带有强烈的目的性的, 比如逆出一个程序的某种功能的实现函数,或者是逆出一个程序的流程等等. 要完成这样的功能就需要定位到具体的函数上, 然后才能分析其代码,否则在庞大的二进制流中, 信息的获取必定是极其艰难的. 在庞大的二进制流中找到一个地址未知的函数. 需要推测这个函数的一些特征,没有特征就很难定位到这个函数. 因为在庞大的二进制流中有着上万乃至数十万行以上的机器码
Node.js事件循环与回调函数深度解析
Node.js的事件循环是基于观察者模式的,其工作原理可以简单概括为:在一个无限循环中监听事件,一旦检测到事件(例如I/O操作完成),就会执行相应的回调函数。 1. 事件驱动程序 事件驱动模型的核心在于,Node.js的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值