使用IDA定位基于MFC的CrackMe的按钮函数-----实践篇(二)

最新推荐文章于 2022-03-10 12:06:00 发布
最新推荐文章于 2022-03-10 12:06:00 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 逆向技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SilverMagic/article/details/40623299
版权

    接下来我将介绍另外两种方法来定位消息映射表

搜索控件ID

     如果控件的资源ID比较特殊,那么我们可以通过直接搜索立即数的方式来定位,什么叫比较特殊的资源ID呢,就是搜索后不会出现一大片的.rdata的数据~

     第一步依然是使用Resource Hacker找到对应按钮的资源ID

    然后将程序载入IDA,然后搜索立即数1000

    我们要找到.rdata中指令为数据,并且数值是1000(十六进制为0x3E8)的地址,注意这边只会显示一个字节db,所以是0x3E8的E8,双击跟进是不是一下子就到了消息映射表了?只要把当前的消息映射表用上一篇的方法转换下,很快就能定位到对应的按钮处理函数了~

找虚表

    怎么找类的虚表呢?很简单,随便找个虚函数,查看交叉引用就好了,由于所有的消息映射表只是整个程序的消息映射图的一个子节点,我们找到一个消息映射图,通过上一节找子类消息映射图的方法就能找到其他的消息映射表。

    我一般都是选择DoModel函数,因为这个函数离我们的消息映射表比较近,而且这个函数比较好找,在函数窗口找到DoModel函数,不是CDialog类的也无所谓,然后单击这个函数的交叉引用,就可以跳转到类的虚表了

    然后往下翻动,就能找到消息映射表结构了,然后通过交叉引用先找到CDialog类的消息映射表(消息映射表前面有些虚函数或者类名会提示这里应该是什么类的消息映射表的),然后再通过交叉引用找到子类的消息映射表。注意这边需要往下翻很久,前面虽然也有像消息映射的结构,但是你会发现有很多类名,所以这个是RTTI结构,并不是消息映射表。

   找到消息映射表,我们不仅可以知道按钮对应的处理函数,我们还可以知道CrackMe作者有没有处理其他的特殊消息~

银翼魔术师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一个CrackMe
qq_43762574的博客
04-07 825
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
使用IDA定位基于MFCCrackMe的按钮函数-----理论
10-30 3237
MFC程序不同于普通的windows程序,由于使用了框架代码,我们很难
160个CrackMe之108 mfc程序 寻找按钮事件,代码还原(下)
m0_64973256的博客
03-10 223
·分析该CrackMe按钮事件 这个check就是个按钮,现在用visual studio提供的工具看看这个按钮id ·选择自己的Spy++(不会用的话百度查一下) 找到check按钮id是1 ·那该程序的检查按钮事件就为 AFX_MSGMAP_ENTRY 按钮按钮。nMessage = WM_COMMAND ; 按钮。nCode = BN_CLICKED ; 按钮。nID = 1 ; 按钮。nLastID = 1 ; 按钮。nSig = AfxSigCmd_v ;
mfc三视图和斜等测图实现_浅谈MFCCrackMe中消息处理函数查找方法
weixin_39710288的博客
12-04 157
最近一个学姐发给我了一份CrackMe希望我解一下,其中涉及到了MFC的消息函数查找的问题,就顺便以此为例谈一下自己使用的消息函数查找的方法。本人萌新,如果有任何错漏与解释不清的地方,欢迎各路大佬指正。这个CrackMe是一个典型的MFC类型的程序,其框体如下:一、目标以及方法首先我们确认我们的目标是找到两个"注册"按钮的对应消息处理函数,那么有什么手段可以达到我们的目标?在MFC中有一...
使用IDAMFC寻找按钮处理事件
dasgk的专栏
06-29 5154
由于我练习的都是MFC程序,在寻找按钮事件的时候,费了老鼻子劲了,当初说的,根据DispatchMessage,TranslateMessage,下条件断点神马的,笔者,试了又试,在里面消 息转了又转,就是出不来,放下了一段时间,但是不甘心,最后找到了一很好的文章点击打开链接,让我有了很好的启发,对于自己做的小程序而言,已经足够了,现在说下, 我自己写的这水平实在有些哇,高手不要见笑啊,好
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida_ifl:IFL - 交互功能列表(IDA Pro 插件)
05-29
IFL - 交互功能列表 一个小插件,旨在提供用户友好的方式在函数及其引用之间导航。 许可证:抄送( ) 对于 Python 2 版本检查分支
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。...4. WinHex 由于IDA多用于分析,该软件用来修改对应的进制。 5. Notepad++ 文件内字符串搜索必备,很多AndroidKiller无法搜索的字符串,都可以找到,因为AndroidKiller只能搜索双引号的。
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件...include ( "ida-cmake/cmake/IDA.cmake" ) set (sources "src/myplugin.cpp
BRUTAL-IDA:阻止重做和撤消以实现旧IDA
04-26
残酷的IDA 阻止重做和撤消以实现旧IDA 问题 众所周知,IDA不能撤消。 禁止撤消-不投降。 因此,很自然地,IDA 7.3添加撤消功能破坏了每个人的工作流程。 在媒体上 这将站不住脚。 解决方案 BRUTAL IDA通过阻止undo...
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
通过一个例子来介绍IDA的简单使用
Casuall的博客
09-02 3230
通过一个简单的题来了解一下IDA的基本操作,题目是bugku的一个简单的逆向,Easy_re。 将题目下载下来,发现是一个exe可执行文件,先运行一下看看 [外链图片转存失败(img-ub5SlY5B-1567387294256)(https://i.loli.net/2019/09/01/bU5XpG3EYDOjigP.png)] 有一些字符串提示,让你输入一个字符串,提示输入flag,随便输入...
12.IDA-虚函数和虚表
hgy413的专栏
01-26 5296
vtable编译器会为每一个包含虚函数的类(或通过继承得到的子类)生成一个表,其中包含指向类中每一个虚函数的指针,这样的表就叫做虚表(vtable)__vfptr每个包含虚函数的类对象都获得__vfptr指针,并且是对象的第一个数据成员 编译器必须要保证虚函数表的指针存在于对象实例中最前面的位置 在计算对象的总大小时,也必须考虑到虚表指针。比如new,传递给new的大小值不仅包括类(以及任何超类
使用IDA定位基于MFCCrackMe的按钮函数-----实践(一)
10-30 5296
针对上文章,我将分别使用三种方法来定位
静态分析:IDA逆向代码段说明 text、idata、rdata、data
weixin_30902251的博客
10-17 881
通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的段text、idata、rdata、data, 四个段为PE文件的结构中对应的段。 一、text段: 该段位程序代码段,在该段一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute ...
IDA Pro逆向实战之Crackme(简单
byteway的专栏
07-14 1万+
一次利用IDA Pro进行的软件逆向作业,来做一下,具体的源程序在附件里,废话少说,直接上菜!
RData数据读取和写入分析
热门推荐
zjguilai的博客
06-27 6万+
首先指定 load结果为一个对象 然后此对象的值 即为 str的 数据表名 然后使用 eval(parse(text = l)) 两个函数 将字符串 转可执行对象 即可完成重新赋值 l <- load(“D:\work\task\task_data\02_12306\get_inflection_point\data_ip_pv.Rdata”) head(l) [1] “data_ip_...
使用IDA的跟踪功能
eqera的专栏
11-29 2万+
一个小bug程序 这个小程序只是简单的计算了一下一组数据(1,2,3,4,5)的平均值。这组数据被保存在两个数组里,一个是8bit的数值,一个是32bit数值表示。 #include charchar_average(char array[],int count) { int i; char average; average = 0; for (i = 0; i ave
ipa在win10使用IDAPro检测是否已开启 -fPIE/-fPIC 标记
最新发布
06-08
在Windows 10上使用IDA Pro检测是否已开启-fPIE/-fPIC标记有一些限制。这是因为这两个标记是与Linux平台相关的编译选项,而Windows平台上的编译选项不同。但是,您可以通过以下步骤尝试检测这些标记是否已启用: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值