MFC寻找按钮事件

最新推荐文章于 2022-11-09 14:38:25 发布
最新推荐文章于 2022-11-09 14:38:25 发布
阅读量2k 收藏
点赞数
分类专栏: 逆向工程
[软件名称]: CRECKME 0  CRECKME 0 程序和分析源码.zip.
[应用平台]:Win9X/NT/2000/XP
[软件大小]:8K
[破解声明]:为了检验自己的逆向破解能力,请求斑竹给个邀请码,鼓励我继续写下去。顺便感谢一下党,感谢国家,感谢我们家的曾曾。
[破解工具]:PEiD,IDA 5.5,PE Explore
[备注] 破解软件来源于看雪论坛中的帖子 (本人原创CRACKME系列 难度由0--9,看你属于哪一级)
[作者]:INightElf
[破解日期]:2012-08-06
前言:
   之前一段时间都在破解MASM32 / TASM32之类的软件,由于比较简单,很快就无法引起我的兴趣,在看雪论坛闲逛,发现有网友发(原创CRACKME系列 难度由0--9,看你属于哪一级)帖子,该破解软件由MFC 编译的,刚好用来检验本人掌握的MFC原理是否扎实,也来检验自己的破解水平。
言归正传!下面开始我们的破解之旅

1.查壳,用PEid 检测,编译器为编译器Microsoft Visual C++ 7.0 Method2 [调试],无壳。
名稱: 1.jpg查看次數: 259文件大小: 67.0 KB

2.用PE Explore 查看软件的资源,如图。可见该软件有三个对话框,其中编号为129的对话框为主要窗口, 验证输入的Name 和Serial是否正确。请记下Name控件的ID 为1000,Serial 控件的ID 为1001,确定按钮控件ID为1,取消按钮ID 为2。当输入的Name和Serial 正确,则弹出编号为102的对话框。编号为100则是关于对话框.请记下上面描述的ID号。
这是为了后面的反汇编代码中处理按钮消息做准备,请注意这里的ID 号是10进制

按圖片以查看大圖名稱: 2.jpg查看次數: 17文件大小: 131.4 KBID: 69458

3.用IDA 反汇编CrackMe0,得到CrackMe0反汇编清单,熟悉MFC编程的人都知道,一般程序都会把初始化放到CXXXApp::InitInstance和CXXXApp::IInitApplication 这两个函数,而CXXXApp则继承了CWinApp,并在CXXXApp::InitInstance 中调用父类的CWinApp::InitInstance,在CXXXApp:: IInitApplication 中调用父类的CWinApp:: IInitApplication。所以逆向的一步,则是找到CWinApp::InitInstance和CWinApp:: IInitApplication这两个函数,然后通过交叉引用注释,查找到CXXXApp::InitInstance和CWinApp:: IInitApplication函数所在地址。

按圖片以查看大圖名稱: 3.jpg查看次數: 8文件大小: 609.4 KBID: 69459

由于IDA强大的反汇编库函数,只要对Function Name 列表进行排序,很容易就找到了,在CrackMe0函数中,程序的初始化放到CXXXApp::InitInstance中。导航到交叉引用函数sub_401090,该函数就是CXXXApp::InitInstance。并对该函数进行重命名为CXXXWinApp::InitInstance。
按圖片以查看大圖名稱: 4.jpg查看次數: 4文件大小: 163.4 KBID: 69460

4.在CXXXWinApp::InitInstance函数中仔细观察,看到了地址0x004010EE 调用了CDialog::DoModal(void),表明在该地址前面创建了对话框。在text:004010DA行有一个Call 函数指令,表明了该函数创建了对话框 
.text:004010EE call?DoModal@CDialog@@UAEHXZ ; CDialog::DoModal(void)
导航进去该函数查看。果然验证了之前的推测. .text:004014CE 地址的ID为129,根据步骤2的ID比较,可以断定创建的窗口为即将破解的主窗口, 其中CrackMeMainDialogVirtualFunctionTable为主窗口的虚函数表
.text:004014EC   mov     dword ptr [esi], offset CrackMeMainDialogVirtualFunctionTable ; 虚函数表格
CrackMeMainDialogVirtualFunctionTable 函数名为本人重新命名的,请注意。为什么在这里要特别强调主窗口的虚函数表呢?这是非常关键的一步。猜猜!嘻嘻。
当当当……….谜底是(为了获取确定按钮的消息处理函数) 。是不是觉得我很无聊呢。

按圖片以查看大圖名稱: 4-1.jpg查看次數: 5文件大小: 178.1 KBID: 69464


.text:004014B0 CreateCrackMeMainDialog proc near       ; CODE XREF: CXXXWinApp::InitInstance(void)+4A p
.text:004014B0
.text:004014B0 var_10          = dword ptr -10h
.text:004014B0 var_C           = dword ptr -0Ch
.text:004014B0 var_4           = dword ptr -4
.text:004014B0 arg_0           = dword ptr  4
.text:004014B0
.text:004014B0                 push    0FFFFFFFFh
.text:004014B2                 push    offset SEH_4014B0
.text:004014B7                 mov     eax, large fs:0
.text:004014BD                 push    eax
.text:004014BE                 mov     large fs:0, esp
.text:004014C5                 push    ecx
.text:004014C6                 mov     eax, [esp+10h+arg_0]
.text:004014CA                 push    esi
.text:004014CB                 push    eax
.text:004014CC                 mov     esi, ecx
.text:004014CE                 push    129             ; hDlgTemplateId 对话框模板ID,在这里也是破解的主窗口
.text:004014D3                 mov     [esp+1Ch+var_10], esi
.text:004014D7                 call    ??0CDialog@@QAE@IPAVCWnd@@@Z ; CDialog::CDialog(uint,CWnd *)
.text:004014DC                 push    offset unk_403940
.text:004014E1                 lea     ecx, [esi+74h]
.text:004014E4                 mov     [esp+18h+var_4], 0
.text:004014EC                 mov     dword ptr [esi], offset CrackMeMainDialogVirtualFunctionTable ; 虚函数表格
.text:004014F2                 call    ds:??0?$CStringT@DV?$StrTraitMFC_DLL@DV?$ChTraitsCRT@D@ATL@@@@@ATL@@QAE@PBD@Z ; ATL::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>(char const *)
.text:004014F8                 mov     ecx, [esp+14h+var_C]
.text:004014FC                 mov     dword ptr [esi+78h], 0
.text:00401503                 mov     eax, esi
.text:00401505                 pop     esi
.text:00401506                 mov     large fs:0, ecx
.text:0040150D                 add     esp, 10h
.text:00401510                 retn    4
.text:00401510 CreateCrackMeMainDialog endp


5.导航到CrackMeMainDialogVirtualFunctionTable 虚函数表格。
在地址
.rdata:0040380C dd offset ?GetTypeLib@CCmdTarget@@UAEJKPAPAUITypeLib@@@Z ; CCmdTarget::GetTypeLib(ulong,ITypeLib * *)
和地址 
.rdata:00403814 dd offset ?GetCommandMap@CCmdTarget@@MBEPBUAFX_OLECMDMAP@@XZ ; CCmdTarget::GetCommandMap(void)
之间的函数就是主窗口消息栈区函数。请注意该函数已经被本人重新命名过。
.rdata:00403810                 dd offset j_?GetMessageMap@CrackMeMainDialog@@MBEPBUAFX_MSGMAP@@XZ ; CrackMeMainDialog::GetMessageMap(void)
按圖片以查看大圖名稱: 5.jpg查看次數: 6文件大小: 410.7 KBID: 69465

6.导航到CrackMeMainDialog::GetMessageMap(void) 函数,在该函数里面的地址.text:00401545 设置断点,并执行程序。
text:00401540 ; protected: virtual struct AFX_MSGMAP const * __thiscall CrackMeMainDialog::GetMessageMap(void)const
.text:00401540 j_?GetMessageMap@CrackMeMainDialog@@MBEPBUAFX_MSGMAP@@XZ proc near
.text:00401540                 mov     eax, offset off_403780
.text:00401545                 retn
.text:00401545 j_?GetMessageMap@CrackMeMainDialog@@MBEPBUAFX_MSGMAP@@XZ endp
则程序中断在地址text:00401545,查看此时的EAX寄存器值,[EAX+4] == 0x00403784 的值就是MFC 对话框的消息处理函数列表。

按圖片以查看大圖名稱: 6.jpg查看次數: 1文件大小: 274.9 KBID: 69461

在栈区Jump到地址0x00403784

名稱: 6-1.jpg查看次數: 258文件大小: 67.8 KB

在栈区Jump到地址0x00403788
名稱: 6-2.jpg查看次數: 256文件大小: 88.7 KB

在这里必须说明以下MFC消息处理函数的结构,定义如下
#define ON_CONTROL(wNotifyCode, id, memberFxn) \
  { WM_COMMAND, (WORD)wNotifyCode, (WORD)id, (WORD)id, AfxSigCmd_v, \
    (static_cast< AFX_PMSG > (memberFxn)) },

#define WM_COMMAND     0x0111  发送命令消息,一般控件按钮消息都是通过这个命令发送的。
Id 就是按钮的ID号, memberFxn 就是按钮的消息处理函数。
从上图和步骤二可以知道,确定按钮的ID号为1,所以地址0x004015A0 为确定按钮的消息处理函数。本人把该函数重新命名为BtnOK

7.  十万长征终于完成了一半,导航到函数地址,剩下的工作就是分析算法了。
.text:004015A0 ; 确定按钮事件
.text:004015A0
.text:004015A0 BtnOK           proc near
.text:004015A0
.text:004015A0 ; FUNCTION CHUNK AT .text:004015D5 SIZE 00000034 BYTES
.text:004015A0
.text:004015A0                 push    esi
.text:004015A1                 push    edi
.text:004015A2                 push    1
.text:004015A4                 mov     esi, ecx
.text:004015A6                 call    ?UpdateData@CWnd@@QAEHH@Z ; CWnd::UpdateData(int)
.text:004015AB                 lea     edi, [esi+74h]  ; 获取Name 字段的内容
.text:004015AE                 mov     ecx, edi
.text:004015B0                 call    ds:?GetLength@?$CSimpleStringT@D$00@ATL@@QBEHXZ ; ATL::CSimpleStringT<char,1>::GetLength(void)
.text:004015B6                 cmp     eax, 6          ; name 字段的字符串的长度必须大于等于6
.text:004015B9                 jge     short loc_4015D5
.text:004015BB                 cmp     dword ptr [esi+78h], 186A0h
.text:004015C2                 jge     short loc_4015D5
.text:004015C4                 push    0               ; unsigned int
.text:004015C6                 push    0               ; unsigned int
.text:004015C8                 push    offset aNameOrSerialIs ; "Name or Serial is too short!"
.text:004015CD                 call    ?AfxMessageBox@@YGHPBDII@Z ; AfxMessageBox(char const *,uint,uint)
.text:004015D2
.text:004015D2 loc_4015D2:
.text:004015D2                 pop     edi
.text:004015D3                 pop     esi
.text:004015D4                 retn
.text:004015D4 BtnOK           endp
.text:004015D4
.text:004015D5 ; ---------------------------------------------------------------------------
.text:004015D5 ; START OF FUNCTION CHUNK FOR BtnOK
.text:004015D5
.text:004015D5 loc_4015D5:                             ; Name 字段的内容与"IndolentAfternoon" 字符串比较,
.text:004015D5                 push    offset aIndolentaftern ; 一致则继续比较Serial,从这里就说明了Name 必须=='IndolentAfternoon'
.text:004015DA                 mov     ecx, edi
.text:004015DC                 call    ds:?Compare@?$CStringT@DV?$StrTraitMFC_DLL@DV?$ChTraitsCRT@D@ATL@@@@@ATL@@QBEHPBD@Z ; ATL::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>::Compare(char const *)
.text:004015E2                 test    eax, eax
.text:004015E4                 jnz     short loc_4015D2
.text:004015E6                 cmp     dword ptr [esi+78h], 5687255 ; 获取Serial 字符串与5687255 常量比较,一致则说明了输入的Serial
.text:004015E6                                         ; 是正确的,并给出成功的提示符,证明了 Serial  ==5687255
.text:004015ED                 jnz     short loc_4015D2
.text:004015EF                 push    0               ; unsigned int
.text:004015F1                 push    0               ; unsigned int
.text:004015F3                 push    offset aCongratulation ; "Congratulation! Correct Serial Num,do n"...
.text:004015F8                 call    ?AfxMessageBox@@YGHPBDII@Z ; AfxMessageBox(char const *,uint,uint)
.text:004015FD                 mov     eax, [esi]
.text:004015FF                 pop     edi
.text:00401600                 mov     ecx, esi
.text:00401602                 pop     esi
.text:00401603                 jmp     dword ptr [eax+154h]
.text:00401603 ; END OF FUNCTION CHUNK FOR BtnOK

8.前面分析了那么多步骤只是为了获取按钮消息事件而已,感觉有点学院派的作风,其实可以用很多简单的方法来获取。但是就无法理解MFC消息处理机制了。总结前面的步骤
第1步获取: CWinApp::InitInstance函数地址
第2步获取: CXXXWinApp::InitInstance函数地址
第3步获取: 主对话框的虚函数表CrackMeMainDialogVirtualFunctionTable
第4步获取: 主对话框的CrackMeMainDialog::GetMessageMap(void)const 函数
第5步获取: 获取确定按钮事件.text:004015A0  BtnOK 
很多MFC程序都可以用前面的5个步骤来获取按钮的消息,这个是本人总结出来的宝贵经验,现在无偿奉献给大家。明天把算法的步骤补上,其实该算法特别简单。但是写到现在我已经没有精力写下去了。累!

9.算法太简单了,在BtnOK函数中直接给出明文比较,通过分析可以得出 Name ==” IndolentAfternoon” ,Serial == 5687255   不需要注册机。 

世纪殇
关注
专栏目录
160个CrackMe之108 mfc程序 寻找按钮事件,代码还原(上)
m0_64973256的博客
03-10 437
·前言 虽然网上已经有帖子写160个CrackMe,我个人还是以正向的思路来逆向一部分的crackme,还有一些 代码还原的小技巧,挑选出这160个CrackMe中由c,c++,汇编编写的程序来来写。vb,delphi现在用 的少些了就不拿来写了。 ·思路分析 先判断该程序是啥语言写的用工具查看一下 是vc6的mfc编写的现在先运行下程序 寻 找按钮Check的按钮事件 该程序是mfc编写的,我自己写个例子,来找按钮事件vs2019创建mfc工程后增加个按钮事件 双击B...
MFC PNG按钮
05-19
在传统的MFC应用中,按钮通常使用BMP(Bitmap)格式的资源,但BMP不支持透明,因此如果想要透明或者半透明的效果,开发者需要寻找其他方法。MFC PNG按钮的实现主要涉及以下几个知识点: 1. **PNG图像处理**:MFC...
MFC按钮入口地址定位
04-03
用于mfc框架生存的程序寻找按钮的单击事件的地址,亲测好用,可用于ctf比赛以及crack
发一篇关于MFC查找按钮事件(映射消息)的文章,初级
RyoChan的博客
10-09 2402
本文的知识点完全出自一本名叫《深入浅出MFC》的书。当然同样的知识点,网上也有很多其他版本 不过这些并非以找按钮事件为目的,他们都是以知识点介绍为主 那你要说我这是炒冷饭,那我就不高兴了,这应该叫做“换一个角度看问题” 关于文章的定位问题: 本来这篇文章是写得比较复杂的,涉及MFC的知识,但我觉得这样不好,就改啊改,把文章改成定位为初级的 不过读者还是必须掌握C+
MFC中Toolbar添加事件及图标上显示提示信息VS2019
qq_42712351的博客
10-20 3940
一、前言 本方法在VS2019上测试通过 二、添加图标控件 首先找到资源视图中的Toolbar下的资源,双击打开,会看到如下图标栏: 然后自己添加一个,可以自己绘制想要的图标,由于界面是黑色的,开始找了好久绘制的地方,原来在右上角有一栏工具栏,可以在这里选择绘制。当然也可以右键在外部编辑器中打开,进行绘制,也可以直接导入资源。 我这里绘制了直线图标。 然后点击一个图标,在属性中给其ID命名,如...
VirtualFree函数逆向分析笔记
qq_43147121的博客
11-09 801
WindowsAPI逆向分析系列-virtualfree函数逆向
使用IDA对MFC寻找按钮处理事件
dasgk的专栏
06-29 5228
由于我练习的都是MFC程序,在寻找按钮事件的时候,费了老鼻子劲了,当初说的,根据DispatchMessage,TranslateMessage,下条件断点神马的,笔者,试了又试,在里面消 息转了又转,就是出不来,放下了一段时间,但是不甘心,最后找到了一篇很好的文章点击打开链接,让我有了很好的启发,对于自己做的小程序而言,已经足够了,现在说下, 我自己写的这篇水平实在有些哇,高手不要见笑啊,好
IDA学习笔记--VS2008按钮事件捕捉
ccnyou的专栏
01-20 6695
IDA笔记--VS2008按钮事件捕捉 用到工具: IDA Proc C32Asm Rescope VS2008 LordPE 实例程序:MFCDemo.exe(附下载链接),我们目标是找到Button1对应的函数的地址处 附件包含:博客文章原文文档,文章中用到的MFCDemo程序。 下载链接:http://download.csdn.net/detail/ccnyou/
OD各种编程语言查找按钮事件.doc
最新发布
07-19
在Visual Basic(简称VB)程序中寻找按钮事件的方法是非常通用的,并且不仅仅局限于按钮事件,这种方法还可以应用于取消NAG(通知及引导)窗口、启动框、灰色按钮或隐藏按钮、启动时的定时器事件等场景。 1. **使用...
MFC按钮美化——CButtonST类
10-28
为了使应用程序的用户界面更加吸引人和具有个性化,开发者常常会寻找更高级的解决方案,比如使用CButtonST类来美化按钮。 CButtonST(Styled Button)是一个扩展的MFC按钮类,由第三方开发者创建,用于增强标准...
使用IDA定位基于MFC的CrackMe的按钮函数-----实践篇(一)
10-30 5443
针对上篇文章,我将分别使用三种方法来定位
MFC实战 - 普通按钮+单选按钮+复选框(02)
AIbot
10-12 817
MFC实战1.普通按钮-Button2.单选按钮-RadioButton3.复选框按钮-CheckBox 1.普通按钮-Button 2.单选按钮-RadioButton 3.复选框按钮-CheckBox 修改控件ID,添加变量名 (1)点击“确定”Button,将编辑框更新为选中“城市” 1.创建CString类型变量,存在CheckBox被选中的城市名 2.每个城市变量.GetCheck() == 1,意味着该复选框被选中 3.更新,即将变量strCitySelect的值,更新到编辑框IDC_E
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2150
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
MFC对话框Enter键、Esc键、关闭按钮的消息处理
Hisin Wang的专栏
05-15 9569
MFC对话框中,经常会碰到按Enter或Esc键,对话框会被关闭的现象。Enter键的处理流程如下: 如果对话框有按钮拥有焦点 响应该按钮的单击事件 如果按钮ID为IDOK,并且没有事件响应函数,则执行函数OnOK() 否则执行函数OnOK() Esc键的处理流程: 执行OnCancel() 关闭按钮的处理流程: 找到消息(WM_CLOSE)的响应函数则执行 否则执行OnCancel() 我们
MFC之Button按键控件
weixin_45631738的博客
01-28 4830
MFC 一.操作控件的方式 1.获取控件的句柄操作 GetDlgItem(IDC_BUTTON); //IDC_BUTTON 控件的ID 2.设置变量控制 可直接右键点击控件,选择添加变量,完成后就会在文件中自己生成相应的代码 在类当中会声明成员变量 CButton m_btn1; 在cpp文件中会添加ID的对应关系 void CinterfaceDlg::DoDataExchange(CDataExchange* pDX) { CDialogEx::DoDataExchange(pDX); DDX
MFC窗口和按钮事件-正向与逆向分析
qq_20031585的博客
05-08 1842
模态窗口和非模态窗口是子窗体的两种类型。模态窗口有时会作为一种授权手段,总在最前挡住主窗体,需要注册才能使用软件,另外,通过窗体的监控,我们会更了解MFC程序的exe结构,所以走一遍看看。
20145233计算机病毒实践九之IDA的使用
weixin_30295091的博客
05-21 125
20145233计算机病毒实践之IDA的使用 PSLIST导出函数做了什么 这个函数是一个export函数,所以在view中选择export 查到后,双击打开这个函数的位置 仔细看这个函数可以发现这个GetVersionExA 并且后续进入了其它函数,可以看到在循环使用 通过循环使用,获得了我们的进程信息 通过网络发送我们的进程列表,或者获得我们列表某一个特定的进程名,来进行...
lodash函数实现【1】 chunk函数 - 数组元素按照n个分组
KangTongShun的博客
09-25 620
function chunk(list, n) { let result = [] for(var i = 0;i< list.length; i+=n) { result.push(list.slice(i, i + n)) } console.log(result) } chunk([1,2,3,4,5], 2)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值