逆向寻找MFC程序中消息回调函数地址

最新推荐文章于 2024-08-14 16:05:45 发布
最新推荐文章于 2024-08-14 16:05:45 发布
阅读量1k 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/106525105
版权

IDA打开exe文件,在Imports表中找到GetCommandMap函数,两次交叉引用,找到GetCommandMaprdata数据段中的位置。GetMessageMap函数就在它上面

地址401250处代码如下

地址403618处数据如下

根据下面的源码,知道403540这里就是真正的函数地址

MFC中消息定义格式如下

在IDA中加入这个结构图

地址403540的数据按照结构体解析如下

 

和代码中一样

 和用工具查找的地址一样

此工具下载地址:https://bbs.pediy.com/thread-170033.htm

liuhaidon1992
关注
专栏目录
滴水逆向——Win32_定位回调函数
sunr.
04-28 1710
1、Win32应用程序入口识别 Ollydbg一进入程序停留的地方并不是我们自己定义的函数入口点,因此我们需要寻找EIP。 前面已经讲过入口函数参数的意义,再拿来复习复习 int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, PSTR szCmdLine, int iCmdShow) WinMain的第一个参数...
逆向工程学习笔记(17):回调函数
嵌云阁
04-18 527
在C++经常使用回调函数,下面看一段代码: 0x30001009 mov ecx, dword [esp + 0xc] 0x3000100D mov edx, dword [esp + 8] 0x30001011 push ecx 0x30001012 mov ecx, dword [esp + 8] 0x30001016 push edx 0x30001017 push ecx 0x30001018 call eax 从前面的代码已经知道,...
MFC程序逆向消息篇(下)
benny5609的专栏
05-16 1318
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC还有另外一种很常见的消息发送方式,就是SendMessage函 数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种 消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同
逆向MFC程序
leibso的博客
07-28 3474
文章目录@[toc]1 MFC执行流程1.1 环境支持1.2 分析1.3 实践探索1.3.1 创建一个MFC程序1.3.2 下关键断点并调试1.4 转向MFC库源文件观测2 逆向2.1 特征码的选择(比如我这里还是想找到InitInstance())2.2 使用调试工具(OD) 搜索特侦码咐语 1 MFC执行流程 1.1 环境支持 vs 2017 afxwin.h,afxcdialogex.h...
MFC程序逆向消息
01-05
本文目的就是以一个MFC 的标准对话框程序为例,同时从源码和反汇编代码两方面来研究MFC 消息的流程走向,弄清MFC 消息路径的所有站点,这样就可以任意定位MFC 的所有消息事件,可以从任一站点切入,进行跟踪分析MFC ...
Windows逆向学习笔记——MFC原理:RTTI和消息映射 在逆向的应用
weixin_38526180的博客
07-14 1128
test
190326 逆向-MFC逆向技巧
热门推荐
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
MFC消息逆向分析 1
12-10
MFC消息逆向分析,可以包含各种WM_TIMER、WM_PAINT消息
MFC程序消息逆向
wowbell的专栏
03-09 1552
<br />MFCCWnd基类包含了一个GetThisMessageMap 虚函数,用于获得指向messageMap 的指针。因此任何从CWnd派生的窗口类,都含有这个函数(在虚拟函数表的位置好像是0x30附近)。它的代码通常形如: <br />CWnd::GetThisMessageMap<br />00511390 >/>>push    ebp<br /> 00511391 |.>mov     ebp, esp<br /> 00511393 |.>mov     eax, of
MFC 消息逆向分析 (看雪PDF文档) [评价可免费]
08-25
首先关于 [评价可免费] 的严重声明: 一、评价=评论加评价(评星星); 二、评价必须是下载完了该资源后的评价,没下载就评论无效; 三、如果正确评价了,返还积分可能需要等等,系统需要反应下。呵呵 评论时记得要评分。然后会返回给你花费的分再加1分.理论上有十分就可以下载完所有的资源了。一般人我不告诉他。 MFC 程序逆向消息篇(上) 作者:szdbg Email:szdbg@sina.com 前言: 记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断 不下来,在系统模块经常转得晕头转向,而一无所获。 MFC 程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC 消息流程。弄清原委之后,一切豁然开朗,发现跟 踪MFC 程序消息处理原来是如此。。。,跟踪按钮事件处理也由此变得特别简单。 于是,我将这些研究整理成文,以备后忘。并希望大家有所帮助,失误之处,请高手指正。 的确, .Net之类的程序必定是大势所趋,不过,就目前来说,MFC程序在软件市场还是占有重要的一席之地,所以,了解它,对于逆向和破解此类程序还是很有必要的. MFC之所以显的复杂,就在于它隐藏了它的消息的处理机制,可以说, 程序员基本上不需要懂得它的消息处理过程,就可以写出一套满足应用的软件来.这有好有坏,好的是大大简化了程序员写程序的过程,坏的一方面是,给一般程序员留下了一个迷团: 我只知道这样做,而不知道为什么这样做.心里老是觉得不踏实.
MFC逆向小结
weixin_33826609的博客
03-03 593
参考来自:http://www.pediy.com/kssd/pediy12/120058.html 首先看看进入main函数的c++代码 intAFXAPIAfxWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance, _In_LPTSTRlpCmdLine,intnCmdShow) { A...
MFC框架软件逆向研究
最新发布
蚁景网安学院
08-14 785
MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类,以类成员函数的形式提供给程序开发人员调用。
攻防世界逆向高手题之mfc逆向-200
沐一 · 林 的博客
01-02 2468
攻防世界逆向高手题之mfc逆向-200 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的mfc逆向-200 MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。 . . 照例下载附件,扔入exeinfope查看信息: . . 照例运行一下查看主要回显信息: 首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。 . . 在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧) 以下
MFC应用程序逆向经验总结
weixin_34202952的博客
09-23 228
如何找到MFC App的InitInstance入口地址 OEP: 00401A83| E8 68040000 | call 00401EF0 | __security_init_cookiepping 00401A88| E9 36FDFFFF | jmp 004017C...
XCTF mfc逆向-200
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-14 645
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。 但是我知道mfc程序应该都是一个个控件组成 发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息(具体的好像是Windows的消息机制,菜鸡如我,不了解) 大佬是用C++写的程序给这个控件发送一个消息。(我也不晓得这玩意叫啥,姑且叫控件) 由于我的电脑上没有Windows的开发...
MFC逆向流程
Sanky0u的博客
08-10 7199
以前没有认真解出过MFC的题目,自上次和师姐一起研究完病毒,似乎打通了任督二脉?今天竟然两个都解出来了,不过比较简单,也还是很开心啦~~~ 题目链接:链接: https://pan.baidu.com/s/1qjp05vO0FWJXhVrGUndbbA 密码: v8bt 第一题 CrackMe2.exe 先运行一下 首先Resource Hacker查找资源,得到Resource。 ...
【线程同步系列1】基于Mutex的VC++多线程同步
业精于勤,荒于嬉
09-05 391
第一个参数传入NULL,使用默认安全性第二个参数为TRUE,指示互斥对象初始拥有者,如果为TRUE,调用者创建这个互斥对象,调用的线程获得互斥对象的所有权;否则,调用线程不获得对象的所有权。第三个参数给互斥对象起个名字,如果传入NULL,则创建匿名的互斥对象。互斥对象(mutex)属于内核对象,它能够确保线程拥有对单个资源的互斥访问权。互斥对象包含一个使用数量,一个线程ID和一个计数器。ID用于标识系统的哪个线程当前拥有互斥对象,计数器用于指明该线程拥有互斥对象的次数。
XCTF-攻防世界CTF平台-Reverse逆向类——59、mfc逆向-200(MFC编程逆向
Onlyone_1314的博客
09-08 981
先查看程序信息: Windows 32 位GUI程序,符合题目MFC编程的程序,被加了VMProtect。 运行程序: 用xspy查看程序控件信息: 获得程序窗口句柄:00170E52 类名:944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b 再观察程序消息处理函数: 接受到以下消息: WM_SYSCOMMAND(0x112,274):当用户选择窗口菜单的一条命令或当用户选择最大化或最小化时那个窗口会收到此消息; WM_PAINT(0xf,15):
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值