IDA学习笔记--VS2008按钮事件捕捉

最新推荐文章于 2024-06-21 17:05:20 发布
最新推荐文章于 2024-06-21 17:05:20 发布
阅读量6.6k 收藏 7
点赞数 1
分类专栏: 调试逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccnyou/article/details/8521611
版权

IDA笔记--VS2008按钮事件捕捉

用到工具:

IDA Proc

C32Asm

Rescope

VS2008

LordPE

实例程序:MFCDemo.exe(附下载链接),我们目标是找到Button1对应的函数的地址处

附件包含:博客文章原文文档,文章中用到的MFCDemo程序。

下载链接:http://download.csdn.net/detail/ccnyou/5012040


1,首先,IDA载入程序,在左侧Function Name中输入 CDialog::GetMessageMap(没有输入框,只是定位到这个函数而已,其实书一部分就出来了PS,如果能找到GetThisMessageMap优选选择GetThisMessageMap),如图


2,在XREF中右键,选择“跳到交叉参考”,如图:


点进去后第一个不是我们要找的,第二个开始才是我们目标,第二个如图:


3,此处,点击IDA上面的 Structures打开结构体窗口,按键盘Insert增加一个结构体


名字使用AFX_MSGMAP_ENTRY,然后依次按D增加几个成员并一一改名,最终如图



接下来,回到刚才汇编窗口,从第一个unk_4357B8开始,按Alt+Q,将此处转为结构体变量,在弹出来的窗口选择AFX_MSGMAP_ENTRY,转化之后如图:


4,到这里,其实已经可以发现一些信息,VS2008中的AFX_MSGMAP_ENTRY结构体,对于按钮消息都是这样子的

WM_COMMAND, (WORD)BN_CLICKED, (WORD)IDC_BUTTON1, (WORD)IDC_BUTTON1AfxSigCmd_v, \

(static_castAFX_PMSG > (&CMFCDemoDlg::OnBnClickedButton1)) },

我们用Rescope打开目标程序,打开Dialog窗口,找到目标按钮Button1,拿到按钮ID如图


这里ID = 1000 = 0x03E8,然后根据上面的信息,构造一串HEX常量

1101000000000000E8030000E8030000

其中,1101 就是 0x0111,对应WM_COMMAND, E803即是0x03E8,就是按钮ID

将程序载入C32Asm,搜索HEX,找到一个:


右键,选择【转到对应汇编模式编辑】,拿到指令地址00436FF8,减掉基址00400000得到036FF8,将程序载入LordPE,使用位置计算器,在偏移量中输入036FF8,点击转换,得到VA=00437DF8

4,在IDA中反汇编窗口,按G转到00437DF8,如图


这里要说明下,上面那串 

dd offset ?OnBnClickedOk@CMFCDemoDlg@@QAEXXZ ; CMFCDemoDlg::OnBnClickedOk(void)

估计是由于IDA找到了调试信息,但是一般逆向过程是没有调试信息的,这里忽略它。

我们对着db 11hAlt+Q,选择刚才的AFX_MSGMAP_ENTRY,目标出来,如图:


在没有调试信息的情况下,这里是一个函数偏移量,双击就能到达函数代码处。文章至此结束。有问题请给我留言^_^


ccnyou
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
VS2008按钮事件捕捉附件
01-20
博客文章【IDA学习笔记--VS2008按钮事件捕捉】中附件,包含原始博客文档和实例程序。文章地址: http://blog.csdn.net/ccnyou/article/details/8521611
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
使用IDA对MFC寻找按钮处理事件
dasgk的专栏
06-29 5213
由于我练习的都是MFC程序,在寻找按钮事件的时候,费了老鼻子劲了,当初说的,根据DispatchMessage,TranslateMessage,下条件断点神马的,笔者,试了又试,在里面消 息转了又转,就是出不来,放下了一段时间,但是不甘心,最后找到了一篇很好的文章点击打开链接,让我有了很好的启发,对于自己做的小程序而言,已经足够了,现在说下, 我自己写的这篇水平实在有些哇,高手不要见笑啊,好
IDA 如何找到被调试软件在右键点击时的事件 处理不能复制的限制
最新发布
chenhao0568的专栏
06-21 285
IDA Pro 中,要找到被调试软件在右键点击时的事件,你可以使用以下方法来分析和定位相关的事件处理函数。这些方法涉及动态和静态分析技术。
MFC程序逆向 – 消息篇(下)
zhangting1987的专栏
05-12 1674
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同一窗
使用IDA定位基于MFC的CrackMe的按钮函数-----理论篇
10-30 3278
MFC程序不同于普通的windows程序,由于使用了框架代码,我们很难
IDApro权威指南》个人学习笔记
10-11
_IDApro权威指南个人学习笔记_ 《IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款...
IDA-pro-7-for-Catalina-OSX-15
03-21
IDA-pro-7-for-MAC-15- 起因 IDA在MAC 10.15即Catalina上安装会报错,具体见 解决方案 在Mojave上安装之后拖入Catalina。 这个仓库的意义 提供一份本人​​已经在Mojave上安装好的IDA,亲测在Catalina上可用。 链接...
IDA-Pro-7.7-全插件版
07-09
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA ...
MFC逆向小结
weixin_33826609的博客
03-03 580
参考来自:http://www.pediy.com/kssd/pediy12/120058.html 首先看看进入main函数的c++代码 intAFXAPIAfxWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance, _In_LPTSTRlpCmdLine,intnCmdShow) { A...
博客文章【OD调试MFC程序按钮事件捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
IDA官网发布的每周技巧2----通过IDA界面能进行哪些操作以及如何找到它们
一个热爱逆向,喜爱学习、分享的猿。
11-03 333
hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。 第二篇原文:Igor’s tip of the week #02: IDA UI actions and where to find them 上一篇文章中,我们了解了如何使用键盘快速对IDA执行操作。但有时,你需要重复执行某个操作很多次,但这个操作没有默认关联的快捷键,你只能一遍一遍点击菜单。或者有一个快捷键能帮助你,但你不知道去哪找到它(有些操作不在菜单中)。有两个IDA功能将对你有帮
用特征码秒杀各程序语言按钮事件
zhangmiaoping23的专栏
05-22 2890
先转载: 标 题:用特征码秒杀各程序语言按钮事件作 者:hellotong时 间:2010-10-30 13:43:54 链 接:http://bbs.pediy.com/showthread.php?t=123811   作者:小童 工具:OllyDbg、Delphi程序一个、易语言程序一个、MFC程序一个 --------------------------------------
使用IDA定位基于MFC的CrackMe的按钮函数-----实践篇(一)
10-30 5422
针对上篇文章,我将分别使用三种方法来定位
如何在IDA软件中找到自己需要的目标函数(关键函数)
热门推荐
半岛铁盒的博客
11-30 1万+
这个问题很困扰我们这些初学者 特此记录~~~ 一. 提前要记住IDA的基操~~ 1.shift+F12 查看string信息 (通常可以看到重要的信息 ) 2.Alt + T 查找带有目标字符串的函数 3. F5 查看 C代码 4. Ctrl + F 在函数框中 搜索函数 5. 空格键 流程图与代码 来回切换. 二.讲解 从题目下下载好附件后在IDA中打开,发现没有main函数(即关键代码所在的函数); 这时候我们按 Ctrl + F12 看到了flag, wrong, 但是发现了一个
MFC寻找按钮事件
dasgk的专栏
07-24 2020
[软件名称]: CRECKME 0 CRECKME 0 程序和分析源码.zip. [应用平台]:Win9X/NT/2000/XP [软件大小]:8K [破解声明]:为了检验自己的逆向破解能力,请求斑竹给个邀请码,鼓励我继续写下去。顺便感谢一下党,感谢国家,感谢我们家的曾曾。 [破解工具]:PEiD,IDA 5.5,PE Explore [备注] 破解软件来源于看雪论坛中的帖子 (本人
IDA 常用按键 和 gdb 常用命令
weixin_43891422的博客
08-07 705
IDA 常用按键 和 gdb 常用命令 IDA 常用按键 : 显示伪C代码按F5,按TAB返回显示汇编。 按G快速跳转到目标地址。 按Ctrl + s显示内存分段。 按空格以内存形式显示,再按空格返回显示汇编。 查找程序中的字符串,按shift + F12显示字符串窗口。 查找对应字符串被函数引用,选中字符串对应的地址,按X,或直接点选字符串后的灰色信息。 gdb 常用命令 : 运行程序(run):r 打断点(break): 按地址打:b *[address] 按函数打:b [function
发一篇关于MFC查找按钮事件(映射消息)的文章,初级
RyoChan的博客
10-09 2400
本文的知识点完全出自一本名叫《深入浅出MFC》的书。当然同样的知识点,网上也有很多其他版本 不过这些并非以找按钮事件为目的,他们都是以知识点介绍为主 那你要说我这是炒冷饭,那我就不高兴了,这应该叫做“换一个角度看问题” 关于文章的定位问题: 本来这篇文章是写得比较复杂的,涉及MFC的知识,但我觉得这样不好,就改啊改,把文章改成定位为初级的 不过读者还是必须掌握C+
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值