使用IDA对MFC寻找按钮处理事件

最新推荐文章于 2022-06-28 15:54:54 发布
最新推荐文章于 2022-06-28 15:54:54 发布
阅读量5k 收藏 2
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dasgk/article/details/9203735
版权

由于我练习的都是MFC程序,在寻找按钮事件的时候,费了老鼻子劲了,当初说的,根据DispatchMessage,TranslateMessage,下条件断点神马的,笔者,试了又试,在里面消

息转了又转,就是出不来,放下了一段时间,但是不甘心,最后找到了一篇很好的文章点击打开链接,让我有了很好的启发,对于自己做的小程序而言,已经足够了,现在说下,

我自己写的这篇水平实在有些哇,高手不要见笑啊,好了不说废话了,现在开始,

我的MFC界面如下


现在需要做下说明,确定和取消是由向导自动生成的,所以在GetMessageMap中是不会有的,现在我们要找的是Check按钮事件,现在IDA已经能够识别GetMessageMap函数

了,所以看下具有GetMessageMap函数

会看到,如下

.text:00401560 ; AFX_MSGMAP *__thiscall CTMPDlg__GetMessageMap(CTMPDlg *this)
.text:00401560 protected: virtual struct AFX_MSGMAP const * __thiscall CTMPDlg::GetMessageMap(void)const proc near
.text:00401560                                         ; DATA XREF: .rdata:00403A24o
.text:00401560 this = ecx
.text:00401560                 mov     eax, offset off_4039D0
.text:00401565                 retn
.text:00401565 protected: virtual struct AFX_MSGMAP const * __thiscall CTMPDlg::GetMessageMap(void)const endp

所以GetMessageMap的处理函数,是在偏移量是 offset off_4039D0中,只需要轻轻点击一下,便能进入MessageMap下的函数


rdata:004039D0 off_4039D0      dd offset CDialogEx::GetThisMessageMap(void)
.rdata:004039D0                                         ; DATA XREF: CTMPDlg::GetMessageMap(void)o
.rdata:004039D4                 dd offset unk_403940
.rdata:004039D8 aDsada:                                 ; DATA XREF: CTMPDlg::OnBnClickedButton1(void)+54o
.rdata:004039D8                 unicode 0, 
  
  
   
   ,0
.rdata:004039E4 ; const wchar_t Text
.rdata:004039E4 Text            db '搹eQ',9,'g飲',0     ; DATA XREF: CTMPDlg::OnBnClickedButton1(void)+69o
.rdata:004039ED                 align 10h
.rdata:004039F0                 dd offset const CTMPDlg::`RTTI Complete Object Locator'

然后再点击下unk_403940,就看到下面的各个函数列表了,唉,我越来越觉得,真是鸡肋啊...

.text:006BEEEE protected: virtual struct AFX_MSGMAP const * __thiscall CCoolCheckRadio::GetMessageMap(void)const proc near
.text:006BEEEE                                         ; DATA XREF: .rdata:007305CCo
.text:006BEEEE                 jmp     ds:CCoolCheckRadio::GetMessageMap(void)
.text:006BEEEE protected: virtual struct AFX_MSGMAP const * __thiscall CCoolCheckRadio::GetMessageMap(void)const endp

对于这样的我想,应该是在某一个dll文件中了怎么继续寻找,还希望哪位路过的大神告知一下,下一步的学习,嗯,就到这儿了

世纪殇
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
逆向寻找MFC程序中消息回调函数地址
liuhaidon1992的博客
06-03 907
IDA打开exe文件,在Imports表中找到GetCommandMap函数,两次交叉引用,找到GetCommandMap在rdata数据段中的位置。GetMessageMap函数就在它上面 地址401250处代码如下 地址403618处数据如下 根据下面的源码,知道403540这里就是真正的函数地址 MFC中消息定义格式如下 地址403540的数据按照消息格式解析如下 和代码中一样 ...
使用IDA定位基于MFC的CrackMe的按钮函数-----实践篇(二)
10-30 2513
接下来我将介绍另外两种方法来定位
MFC按钮触发模态对话框窗口和非模态对话框窗口
05-08
MFC开发的窗口程序,实现了模态model dialog window和非模态窗口modelles dialog window的创建,可以下载下来,做逆向分析用。 详细的IDA和X64dbg分析见这篇文章: https://blog.csdn.net/qq_20031585/article/details/124649453 代码是基于Visual Studio 2022版本的,配图详细,可以选择X86或者X64编译。
给自己的ida使用ida使用
01-19
给自己的ida使用ida使用
MFC程序反汇编之快速定位
04-25 5814
 目的:快数定位全局对象的构造函数 类的虚函数表 MessageMap表工具:IDA4.8 VC6SP61. Vc6迅速生成一个mfcdemo,基于dialog,整个程序由一个CWinApp子类和一个CDialog子类构成2. 编译得到release/mfcdemo.exe3. 给当前系统配置好symbol,用IDA4.80反汇编mfcdemo.exe4. 通过IDA names页可以迅速
使用IDA定位基于MFC的CrackMe的按钮函数-----理论篇
10-30 3216
MFC程序不同于普通的windows程序,由于使用了框架代码,我们很难
深入浅出MFC学习笔记:(第三章MFC六大关键技术之仿真:类型识别,动态创建) ....
tansitongba
06-05 200
第三章:MFC六大关键技术之仿真:类型识别 深入理解MFC的内部运行原理,是本次学习《深入浅出MFC》的主要目的。要模仿的六大技术包括: 1:MFC程序的初始化过程。 2:RTTI(Runtimetypeidentification)运行时类型识别。 3:Dynamiccreation动态创建 4:Persistence永久保存 5:消息映射 6:消息传递。 RTTI(运行时类...
IDA学习笔记--VS2008按钮事件捕捉
ccnyou的专栏
01-20 6596
IDA笔记--VS2008按钮事件捕捉 用到工具: IDA Proc C32Asm Rescope VS2008 LordPE 实例程序:MFCDemo.exe(附下载链接),我们目标是找到Button1对应的函数的地址处 附件包含:博客文章原文文档,文章中用到的MFCDemo程序。 下载链接:http://download.csdn.net/detail/ccnyou/
PE文件-C++-MFC-IDA-逆向分析-x32dbg
插件开发
06-28 1663
  按shift+enter返回。在IDA中查找对话框初始化函数。如下图所示:   在x32dbg中,对应的模块如下图所示:   在查找初始化函数时,可以先定位初始化函数。然后在虚函数中,有调用原始函数,所以原始函数返回,即为目标函数所在的位置。如下图所示: 如果在x32dbg中找到一个地址,可以在IDA中查看,这个函数的代码,如下图所示:   通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:   .text:00401165 loc_401165: ;CODE XREF:sub_4011
etwbreaker:一个IDA插件,用于处理Windows事件跟踪(ETW)
03-09
破坏者 一个IDA插件,用于在PE文件中静态查找ETW事件并生成条件断点以促进安全性研究。 如何安装? 只需将etwbreaker.py脚本放入IDA的plugins文件夹中即可。 git clone [email protected]:Airbus-CERT/etwbreaker.git mklink "C:\\Program Files\\IDA Pro 7.4\\plugins\\etwbreaker.py" "etwbreaker\etwbreaker.py" 启动您的IDA,然后按Ctrl-Shift-L激活它。 它是如何工作的? ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。 基于清单的提供者 ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并尝试
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
5.脱壳处理 包括解压壳脱壳解密案例 6.附带4个解密案例程序,包括三个exe文件和一个linux程序的逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议...
IDA的通用解压插件使用和原理.docx
03-26
逆向工程在软件充分利用工程技术就可以对现有系统进行改造,减少开发强度,提高软件开发效率,降低项目开发的经济成本,提高经济效益,并在一定程度上保证软件开发和利用的延续性,而IDA在逆向分析软件在维护中有着...
关于cout<<1; cout<<endl;和cout<<1<<endl;的解析
dasgk的专栏
05-25 6632
C++源代码如下 cout 经IDA反汇编之后得出 .text:00401000 mov eax, ds:__imp_?endl@std@@YAAAV?$basic_ostream@DU?$char_traits@D@std@@@1@AAV21@@Z ; std::endl(std::basic_ostream> &) ;//将endl
OD根据API下断点调试程序
dasgk的专栏
07-04 5521
我们先看下C++语言的源代码,一般而言,类似于这样的界面,我们可以猜测首先要获得编辑框的句柄,而后根据句柄得到其内容,而后进行比较 所以,对于GetDlgItem(),和GetWindowTextA函数则是我们需要注意的,C++源代码是这样的, void CCrackMeDlg::OnBnClickedOk() { // TODO: 在此添加控件通知处理程序代码 CString
函数的开始和结束标志
dasgk的专栏
05-28 3768
.text:00401010 ; void *__thiscall CtmpApp___vector deleting destructor_(CtmpApp *this, unsigned int) .text:00401010 ??_ECtmpApp@@UAEPAXI@Z proc near ; DATA XREF: .rdata:004034D8o .text:0040101
读取PE文件头的简单实现
dasgk的专栏
07-13 2920
// 读取PE文件头.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; int _tmain(int argc, _TCHAR* argv[]) { HANDLE hFile=CreateFile(L"D:\\project\\Proc_Url\\Debug\
PE文件代码段的加密与解密
dasgk的专栏
09-07 2898
// 区块合并.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; #pragma comment(lib,"imagehlp.lib") char* strSrcExePath="D:\\project\\tmp\\Debug\\tmp.ex
win10使用IDAPro反汇编
最新发布
06-07
在Windows 10上使用IDA Pro反汇编IPA文件中的二进制代码,可以按照以下步骤进行操作: 1. 打开IDA Pro:从IDA Pro程序的安装目录中找到ida64.exe或ida.exe,然后双击打开IDA Pro。 2. 打开IPA文件:在IDA Pro主界面中,选择“File”菜单,然后选择“Open”选项。在弹出的文件对话框中,选择要反汇编的IPA文件,并点击“Open”按钮。 3. 选择反汇编器:在打开IPA文件后,IDA Pro会提示您选择反汇编器。根据IPA文件的架构选择相应的反汇编器。例如,如果IPA文件是基于ARM架构的,则选择ARM反汇编器。 4. 分析二进制代码:在IDA Pro中,您可以使用多种功能来分析二进制代码,如反汇编、调试、图形化表示等等。您可以使用IDA Pro的快捷键或者菜单来调用这些功能。例如,您可以使用“Space”键来反汇编当前位置的指令,使用“F5”键来跟踪程序执行流程,使用“Ctrl+F”键来搜索指定的字符串等等。 如果您对IDA Pro不熟悉,建议您先学习一些IDA Pro的基础知识和技术。IDA Pro具有非常复杂的功能,需要一定的技术水平和经验才能使用。同时,请在合法和合规的情况下使用IDA Pro进行测试,不要用于非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世纪殇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值