利用反汇编对WNDPROC进行追踪

最新推荐文章于 2022-10-09 15:02:09 发布
最新推荐文章于 2022-10-09 15:02:09 发布
阅读量2.2k 收藏
点赞数
分类专栏: Reverse 文章标签: 汇编 user c windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edcvf3/article/details/7705394
版权

很简单的一个WINDOWS程序,就是简单的创建窗口,消息循环。。。

目的:wndproc 窗口消息处理程序 什么时候执行的 反汇编如何追踪

首先在WNDPROC 那下断点

反汇编追踪 到registerclassA的时候还未跳到wndproc (追踪wndproc执行的时候会跳至user32领空)

0040115A |. FF15 B8A34200 call dword ptr [<&USER32.CreateWindow>;\CreateWindowExA

这里直接F8会到wndproc

在createwindowEXA的时候会跳到wndproc,F7跳到user32领空

77D2E4AE 68 01000040 push 40000001
77D2E4B3 FF75 34 push dword ptr [ebp+34]
77D2E4B6 FF75 30 push dword ptr [ebp+30]
77D2E4B9 FF75 2C push dword ptr [ebp+2C]
77D2E4BC FF75 28 push dword ptr [ebp+28]
77D2E4BF FF75 24 push dword ptr [ebp+24]
77D2E4C2 FF75 20 push dword ptr [ebp+20]
77D2E4C5 FF75 1C push dword ptr [ebp+1C]
77D2E4C8 FF75 18 push dword ptr [ebp+18]
77D2E4CB FF75 14 push dword ptr [ebp+14]
77D2E4CE FF75 10 push dword ptr [ebp+10]
77D2E4D1 FF75 0C push dword ptr [ebp+C]
77D2E4D4 FF75 08 push dword ptr [ebp+8]
77D2E4D7 E8 B5FEFFFF call 77D2E391 /按F7 否则直接跑飞


77D2E387 FF12 call dword ptr [edx] 这个CALL会跳到wndproc,不能F7跟进,否则进程会终止

7C92E470 FF1490 call dword ptr [eax+edx*4]

追踪到这里,提示调试的信息无法处理异常,进程终止

------------------------------------------------------------------------------------------------------------------------------------------------------------

综上,发现WNDPROC是在createwindow之后执行的,最后会进入一个异常处理程序,如果不在WNDPROC下断,那么直接跟踪发现是不会进入wndproc的,会在消息那一直循环。那么猜想wndproc的处理机制类似如异常处理?由USER32间接调用?。。。

Cryking
关注
专栏目录
Windows逆向学习笔记——MFC原理:RTTI和消息映射 在逆向中的应用
weixin_38526180的博客
07-14 1078
test
汇编call指令详解_想做外挂,先把汇编学好!反汇编跟踪函数调用过程!
weixin_39606638的博客
11-23 2089
今天,我们来通过反汇编看一下函数调用的过程(顺便学习下汇编),如下图,为一个函数调用的例子。主函数里面调用了test()函数。​在X86环境下,进入调试模式,反汇编代码。然后我们从主函数看起,前面一些汇编代码都是编译器在调试模式下自动生成的调试信息代码,我们主要看画红线的两句代码。哦,首先要看一下此时的栈空间状况,此时的栈空间由EBP和ESP两个寄存器来决定,EBP是栈底的内存地址,ESP是栈顶的...
关于win32编程中消息循环和WndProc()窗口过程函数
u011109761的专栏
10-09 881
windows编程,消息机制理解
反调试跟踪的一点心得
happylife1527的专栏
10-16 971
此贴转载于看雪:http://bbs.pediy.com/showthread.php?t=79205 本文所提到的一些方法,对于熟练的逆向调试者来说不值一提。写出来的目的只是帮助初学者解决调试中可能遇到的一些问题。这些问题以前我遇到过,当时解决起来花了不少时间。 1、  INT 3断点: 检测关键API的入口的第1个字节是否为INT 3(0xCC),是则OVER。相关代码如下: if
WinForm中DefWndProcWndProc与IMessageFilter的区别
09-04
当自定义的WndProc方法没有对特定消息进行处理或选择不处理时,这些消息会传递给DefWndProc。DefWndProc通常会执行Windows操作系统内置的默认行为,例如处理键盘和鼠标输入。由于DefWndProc是在WndProc之后调用的,...
对窗口过程函数WndProc()的一点理解
最新发布
06-03
### 对窗口过程函数WndProc()的理解 在Windows编程中,`WndProc()`是一个非常重要的概念。它是处理所有发送到窗口的消息的核心函数。了解并熟练掌握`WndProc()`的使用方式对于开发高质量的Windows应用程序至关重要...
c# 重载WndProc,实现重写“最小化”的实现方法
09-06
当我们需要自定义这些行为时,可以重载`WndProc`方法来拦截并处理特定的消息。 在描述的问题中,开发者在“亦歌桌面版”应用中遇到了一个问题,即当窗体被最小化并隐藏到系统托盘时,歌词显示区域的大小似乎发生了...
Win32窗口相关API反汇编
热门推荐
Hello_MyDream的博客
06-20 2万+
1、Win32应用程序入口识别 /*程序入口*/ //APIENTRY(API入口) __stdcall int APIENTRY WinMain(HINSTANCE hInstance, //ImageBase HINSTANCE hPrevInstance, //NULL LPSTR lpCmdLine, //命令行参数,可以用Debug版打印,也可以使用Release版使用Dbgview.exe查看 int nCmdShow) //指定程序窗口如何显示 看到KERNEL32.GetVer
消息的处理流程
T_W_S的专栏
09-02 969
菜单消息,工具栏消息都是命令消息,mfc中命令消息的处理流程如下: (下面的每个类中都可以定义相关的消息和消息处理函数,而处理过程就是箭头所指过程。mfc程序是按此顺序处理命令消息的) 1.单文档程序: view-->doc-->MainFrame-->app 2.多文档程序: 文档没有打开:MainFrame-->app 文档打开:view-->doc-->childFrame->ap
register计算机语言,Windows编程 RegisterClass 窗口注册意义
weixin_30741979的博客
07-21 369
#include#defineDIVISIONS5LRESULTCALLBACKWndProc(HWND,UINT,WPARAM,LPARAM);LRESULTCALLBACKChildWndProc(HWND,UINT,WPARAM,LPARAM);TCHARszChildClass[]=TEXT("Checker3_Child");intWINAPIWinM...
OllyDBG 入门系列(五)-消息断点及 RUN 跟踪
Welcom to zougangx's blog
09-04 895
 OllyDBG 入门系列(五)-消息断点及 RUN 跟踪作者:CCDebuger找了几十个不同语言编写的 crackme,发现只用消息断点的话有很多并不能真正到达我们要找的关键位置,想想还是把消息断点和 RUN 跟踪结合在一起讲,更有效一点。关于消息断点的更多内容大家可以参考 jingulong 兄的那篇《几种典型程序Button处理代码的定位》的文章,堪称经典之作。今天仍然选择 crackme
OD 找到windows 窗口过程并且条件断点
qq_41071646的博客
12-14 1798
今天又又又有人问我怎么看窗口注册并且 怎么下条件断点 emmmm 这个问题其实涉及到了Windows编程 如果你这个会 还请先补充一些windows编程的知识再来看这些内容 本次演示的程序是我上外挂的那个扫雷程序  首先 先下断点在CreateWindows 下断点 然后返回到上一层 发现了 然后找找附近有没有RegisterClassW 函数 然后发现了  看到pWndClas...
WndProc()函数
yaotuzhi的博客
04-24 1万+
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam){//hwnd是要处理窗口的句柄,message是消息ID,代表了不同的消息类型,wParam的值为按下按键的虚拟键码,lParam则存储按键的相关状态信息(比如当鼠标消息发出时,wParam值为鼠标按键的信息,而lParam则储存鼠标的坐标...
3.5 W32Dasm反汇编教程:从静态分析到理解程序功能
w32dasm的使用涉及多个步骤,包括打开文件、查看反汇编代码、追踪函数调用、理解指令序列以及识别可能的加密或混淆技术。在实际应用中,反编译结果通常需要结合其他工具和知识,如调试器、内存分析工具,以及对操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值