通过分析调用堆栈定位MFC按钮事件

最新推荐文章于 2022-05-08 17:12:07 发布
最新推荐文章于 2022-05-08 17:12:07 发布
阅读量673 收藏 2
点赞数 1
分类专栏: 逆向 文章标签: c++ qt stm32
原文链接:https://bbs.pediy.com/thread-249135.htm
版权

1,逆向分析这个东西的前提是你得懂这个东西,例如,就像逆飞机一样,你连飞机是什么都不知道,当然你也就逆不出来,逆之前, 你得自己会造飞机,只是你没有别人造的好。分析过程中,不需要弄懂每个细节,只需关注重点部分和整体流程。学会根据经验猜测。
2,原理:
我们新建的MFC程序,界面上就放2个按钮,事件处理函数随便写。然后我们在按钮那里设置断点。
在这里插入图片描述
在这里插入图片描述

程序运行起来后,我们点击button1,程序就断下来了,然后我们就查看它的调用堆栈,谁调用了这个按钮处理函数,找到事件分发函数。
_AfxDispatchCmdMsg就是分发函数。
在这里插入图片描述在这里插入图片描述

双击 _AfxDispatchCmdMsg 进入到如下函数,这个就是处理过程。然后我们分析这个函数的参数,有点不太一样它有7个参数,可以作为一个特征。

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg}, unsigned int 1000, int 0, void (void)* 0x00401014 CSssDlg::OnButton1(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

调用堆栈已经显示了调用这个函数时的所有参数:比如nID=1000,我们需要大胆猜测这个东西是什么,nID有可能是按钮的编号。拿着这个疑问我们来试第二个按钮:

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg hWnd=0x001d1e92}, unsigned int 1001, int 0, void (void)* 0x0040107d CSssDlg::OnButton2(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

nID变成了1001,哈哈猜对了,nID基本就是窗口编号。
我们注意到倒数第3个参数是传递的是按钮事件函数的地址。
_AfxDispatchCmdMsg函数的特征是什么呢,特征码的选取是随机的,爱取什么就取什么,只要满足它能代表这个函数的唯一想就可以了。
在这里插入图片描述

3 OD分析
A,选择特征码:
我们进入到 _AfxDispatchCmdMsg函数,查看汇编,以红色框内的硬编码作为特征码。
在这里插入图片描述

B,我们直接把刚刚的程序拖入OD中,让程序运行起来,搜索二进制字符串,填入上面选择的特征码,搜索到以后在这个函数入口处下断点。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

让程序运行起来,然后点击按钮1,我们的程序就断在014BD310处了,查看此时的堆栈,保存了传入的参数,红色箭头指向的就是对应当前窗口ID的事件处理函数。
在这里插入图片描述

然后我们进入到这个函数,发现就是我们写的事件处理函数。
在这里插入图片描述

4,总结
所有的事件都会通过一个分发函数分发到不同的事件处理函数中,根据这个特征,可以应用到易语言,borland c++等不同的窗口程序中。
上述针对MFC做的测试,通杀所有版本的MFC程序按钮事件的查找。

再搭环境是狗
关注
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
MFC--按键、按钮按下和弹起事件检测
随心漂流的博客
09-24 1万+
MFC按钮按下事件很容易实现,为一个按钮直接添加点击事件即可,但是有时需要检测按钮的抬起,即按钮的按下和抬起单独实现各自的功能时,就需要对两种状态单独检测。下面把MFC按钮和键盘的按下和抬起一起实现。 方法是重写**PreTranslateMessage(MSG* pMsg)*函数: 步骤: 1.新建一个对话框MFC工程,名称自主定义即可 2.添加一个按钮,ID默认为IDC_BUTTON1,不需更...
MFC中快速定位按钮事件的新方式
goat_2003的博客
08-31 828
我在上一篇文章《 如何在MFC定位按钮事件 》采用了寻找虚函数表的方法来寻找按钮事件,但是用不同版本的VS编译器编译出来的MFC程序,在进入afxWinMain入口前做了非常多的工作,而且在不同版本中所做的内容是不尽相同的。下图左边是vs6.0的MFC调用堆栈,右边是vs2010的MFC调用堆栈。 在MFC程序中,有且仅有一个继承自CWinApp的类,而且这个类是全局的,只有一个,程序运行的时候已经初始化了。 1,原理: 继承自CWinApp的类和窗口的类在内存中有 static const A
特征秒杀各程序语言按钮事件
weixin_34406061的博客
09-20 175
http://bbs.pediy.com/showthread.php?t=123811 作者:小童工具:OllyDbg、Delphi程序一个、易语言程序一个、MFC程序一个-------------------------------------------------------------------------------------------------------------...
调试技巧之调用堆栈
0011411的专栏
04-14 2003
简单介绍调试是程序开发者必备技巧。如果不会调试,自己写的程序一旦出问题,往往无从下手。本人总结10年使用VC经验,对调试技巧做一个粗浅的介绍。希望对大家有所帮助。今天简单的介绍介绍调用堆栈调用堆栈在我的专栏的文章VC调试入门http://www.vckbase.com/document/viewdoc/?id=924提了一下,但是没有详细介绍。首先介绍一下什么叫调用堆栈:假设
OD调试MFC程序按钮事件的捕捉
ccnyou的专栏
06-07 1万+
经常在调试程序中需要捕捉某一按钮事件分析按钮对应的代(如“登陆”,“注册”等) 近来无事,自己写个程序来看看MFC的消息分发流程,然后总结地写了这文章:   示例程序MfcTest,下载链接:http://download.csdn.net/detail/ccnyou/4358961 编译环境VC6+WinXP 使用工具:OD(OllyDbg) 程序截图
发一篇关于MFC查找按钮事件(映射消息)的文章,初级
RyoChan的博客
10-09 2402
本文的知识点完全出自一本名叫《深入浅出MFC》的书。当然同样的知识点,网上也有很多其他版本 不过这些并非以找按钮事件为目的,他们都是以知识点介绍为主 那你要说我这是炒冷饭,那我就不高兴了,这应该叫做“换一个角度看问题” 关于文章的定位问题: 本来这篇文章是写得比较复杂的,涉及MFC的知识,但我觉得这样不好,就改啊改,把文章改成定位为初级的 不过读者还是必须掌握C+
MfcSpy----用来找MFC程序的按钮事件
xuanwu1015的专栏
11-19 3523
 哈哈,在一本书上看到有这个东西,就在看雪里找到了,分享下~~对MFC程序很有威胁,好像对静态编译的MFC程序好像不能工作。原文:http://bbs.pediy.com/showthread.php?s=&threadid=9805把那个放大镜拖到mfc写的程序的窗口上,如securecrt,vc6等,松开鼠标就能看到一些内部函数地址了。如oninitdialog,onok什么的
MFC异常打印调用堆栈整合SEH异常和日志文件类
xxt1988的专栏
06-04 2078
1内容概述(文章的内容是什么) 首先介绍了本文的主要内容,然后依次介绍了为什么要对MFC进行异常处理、如何打印MFC系统的调用堆栈、如何捕获处理系统异常,最后完成了线程安全的系统日志类。 2背景(为什么需要这样做) 在进行MFC开发时,我们会遇到C++类的异常、各个组件厂商的自定义异常以及MFC系统的异常。C++类的异常和组件厂商的异常通常可以采用try catch逻辑捕获处理,MFC系统的
vc调试技巧之调用堆栈
04-28
进一步分析调用堆栈,可以发现在断言之前,程序经历了多个MFC框架内部的事件处理函数调用,如`_AfxDispatchCmdMsg`、`CCmdTarget::OnCmdMsg`等。通过这样的调用堆栈信息,我们能够逐步追踪到问题发生的源头,并针对...
各语言按钮事件特征
02-27
各语言按钮事件特征
Mfc记事本VC++工程源MFC
02-25
总的来说,MFC记事本项目涉及到了MFC框架下的许多基础概念和技术,通过学习和分析这个项目,开发者不仅可以了解如何使用MFC创建Windows应用程序,还能深入理解文档/视图架构、事件处理、资源管理等关键概念。...
调用堆栈
lanshanwanghao的专栏
10-22 569
首先介绍一下什么叫调用堆栈:假设我们有几个函数,分别是function1,function2,function3,funtion4,且function1调用function2,function2调用function3,function3调用function4。在function4运行过程中,我们可以从线程当前堆栈中了解到调用他的那几个函数分别是谁。把函数的顺序关系看,function4、funct
使用IDA对MFC寻找按钮处理事件
dasgk的专栏
06-29 5221
由于我练习的都是MFC程序,在寻找按钮事件的时候,费了老鼻子劲了,当初说的,根据DispatchMessage,TranslateMessage,下条件断点神马的,笔者,试了又试,在里面消 息转了又转,就是出不来,放下了一段时间,但是不甘心,最后找到了一篇很好的文章点击打开链接,让我有了很好的启发,对于自己做的小程序而言,已经足够了,现在说下, 我自己写的这篇水平实在有些哇,高手不要见笑啊,好
MFC按钮控件Button按下和弹起事件实现示例
热门推荐
沐阳2100的博客
07-20 2万+
MFC按钮控件Button按下和弹起事件实现示例
逆向分析mfc程序
weixin_33894640的博客
05-22 2181
1.查看版本2.运行程序看看目的是点亮确定按扭 思路很多(直改exe文件 字符串搜索等)这里用api下断分析可以看出是vc2013 那就下点击断点 思路找特征(与版本相关)2013 按扭事件 特征 VS2013 Debug 静态编译 CALL DWORD PTR SS:[EBP-0x8] VS2013 Release 版静态编译 CALL DWORD PTR SS:[EBP+0x14] 直接载...
MFC窗口和按钮事件-正向与逆向分析
qq_20031585的博客
05-08 1838
模态窗口和非模态窗口是子窗体的两种类型。模态窗口有时会作为一种授权手段,总在最前挡住主窗体,需要注册才能使用软件,另外,通过窗体的监控,我们会更了解MFC程序的exe结构,所以走一遍看看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值