整理OD学习之深入理解消息循环

最新推荐文章于 2021-05-22 13:28:50 发布
最新推荐文章于 2021-05-22 13:28:50 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 调试 win 器之卷 文章标签: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/72454669
版权
调试 同时被 3 个专栏收录
122 篇文章 5 订阅
订阅专栏
器之卷
68 篇文章 2 订阅
订阅专栏
win
63 篇文章 4 订阅
订阅专栏

原文转自:逆向工程-------OD学习之深入理解消息循环  本文略加整理。以下是原文部分:"

今天我们一起深入探讨下带有对话框的消息循环。先看下图:今天我们就来研究这个图!!


为了方便研究,我就选用看雪实例里的一个程序。从图上你可以看出一个主窗口,还有一个消息框。为了程序界面的简单,还请暂时把你看到的这个消息框当成对话框。这样一来你所看到的2个元素分别就是:主窗口和一个对话框。
现在我们就来模拟下你按下“OK”按钮后,系统到底做了些什么操作。
当你按下此按钮,系统就是构建一个消息结构
MSG {“按钮句柄”,“WM_LBUTTONDBLCLK”,参数1,参数2,“此时鼠标在屏幕中的坐标”}
之后把这个消息结构放到系统消息列队。之后系统会看情况把这个消息放入主窗口的线程消息队列中。
这个时候我们的主窗口消息循环中的GetMessage函数就会去自己的线程消息队列里取消息,如果没有取到,那么这个函数是不会返回的,原线程挂起同时发起线程的切换。(在此感谢刘飞同学的补充理解),如果取得消息的话,那么DispatchMessage函数就会分析这个MSG结构从而获得这个“按钮的句柄”,那么DispatchMessage就会调用这个按钮的回调函数(按钮回调函数包含在USER32.dll中)。按钮的回调函数会重新构建这个MSG,使其变成:
 MSG{“按钮父亲窗口的句柄(TrackMe对话框的句柄)”,WM_COMMAND,“OK按钮的资源号”,0}
并且把重新构建好的MSG结构再次放入主窗口消息队列中。这个时候GetMessage函数继续取消息,而这个时候的消息里的内容已经有所变化,DispatchMessage函数分析新来的MSG结构获得的句柄已经是对话框窗口的句柄,这个时候DispatchMessage函数就会去调用对话框的消息回调函数,令人兴奋的是,对话框的消息回调函数是程序员自定义的。这样一来,按钮的点击就和过程函数扯上了关系。
当然啦,上面说的还是比较的肤浅,其实里面还涉及到更多的消息的转换,我就不介绍了,有兴趣的读者用OD跟下就会发现其细节。

"

    上面的转载中,我标红了两处比较重要的信息:控件的消息,和转发到父窗口的WM_COMMAND消息。下面,我以windbg调试calc.exe为例,演示作者的意图。

    以Button 0为例,它的句柄值为0206006


Button 0的控件ID:0x0082


Button 0的父窗口信息:


    它的父窗口看着像是一个组合框,它的句柄值为06057E,和SPY++获得的结果一致。


    要验证原作者的结论是否正确,只需下在user32!InternalCallWindProc函数(前面的文章说过这是个万能消息断点)处对WM_LBUTTON和WM_COMMAND消息下条件断点:

0:004> bp USER32!InternalCallWinProc ".if((dwo(esp+8)==00020606&dwo(esp+c)==201)|(dwo(esp+8)==0006057E&dwo(esp+c)==111)){.echo LB;}.else{gc;}"
运行windbg并在Button 0上按键,windbg马上会中断在Button 0的user32!InternalCallWindProc函数处,此时打印调用堆栈: 

0:004> g
LB
esp=0016ee14
USER32!InternalCallWinProc:
7596c494 55              push    ebp
0:000> kb
ChildEBP RetAddr  Args to Child              
0016ee10 7596c5b7 7455b4a9 00020606 00000201 USER32!InternalCallWinProc @注释 参数2:00020606是spy++给出的Button 0的句柄值,参数3:0x201是鼠标左键按下的消息
0016ee88 7596cbe9 00000000 7455b4a9 00020606 USER32!UserCallWinProcCheckWow+0x14b
0016eee8 7596cc40 7455b4a9 00000000 0016fc68 USER32!DispatchMessageWorker+0x357
再次运行windbg,它会再次中断在组合框的user32!InternalCallWindProc函数处,此时打印调用堆栈: 

0:000> g
LB
esp=0016ebc4 
USER32!InternalCallWinProc:
7596c494 55              push    ebp
0:000> kb
ChildEBP RetAddr  Args to Child              
0016ebc0 7596c5b7 75985b91 0006057e 00000111 USER32!InternalCallWinProc @注释 参数2:0006057e是spy++给出Button 0的父窗口的句柄,参数3:111是WM_COMMAND消息
0016ec38 75964ede 00000000 75985b91 0006057e USER32!UserCallWinProcCheckWow+0x14b
0016ec94 75964f4d 00787e10 00000111 00000082 USER32!DispatchClientMessage+0xcf
...
综上所述,恰如原作者所述:控件上的消息会被转换成父窗口的WM_COMMAND消息。




Eugene800
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为od题目库整理收集
06-01
OD专家需要深入理解员工的心理需求,以促进积极的工作氛围和高效的团队协作。 3. **战略规划**:OD不仅仅是解决眼前问题,更要着眼长远,协助企业制定并执行符合其愿景和使命的战略规划。这包括市场分析、竞争态势...
华为OD机试真题整理合集
02-09
本合集整理了华为OD机试的真题,帮助求职者进行充分的准备。 在华为OD机试中,常见的知识点包括但不限于: 1. **基础数据结构**:数组、链表、栈、队列、树(二叉树、平衡树如AVL和红黑树)、图等。了解它们的基本...
OD找出某个线程循环的位置
qq_36453052的博客
11-26 760
办法: 1. 查看线程所在的模块。 2. 查看线程模块的相关API. 3. 下断api,断下后执行GetCurrentThreadId,判断是否是所断的线程。
谈WinDbg之InternalCall的使用与实现
cbbbc
12-09 655
在使用 Reflector.NET 或者 Rotor 源码查看 BCL 库的实现时,经常会碰到一些被标记为 InternalCall 的方法。如 System.String 中用于获取字符串长度的 Length 属性,实现上就是调用被标记为 InternalCall 的 String.InternalLength 方法:      以下内容为程序代码:   namespace System
OD 实验(十七) - 对一个程序的逆向分析
andiao1218的博客
10-06 636
程序: 运行程序 弹出一个对话框,点击 OK 来到主界面,点击 Help -> Register Now 这是输入注册码的地方 按关闭程序的按钮 会提示剩下 30 天的使用时间 用 Resscope 载入程序 在 Dialog 下找到程序要退出时的那个对话框 在 100 处找到该对话框 103 为 lpTemplateName 对话框模板...
Unity [MethodImpl(MethodImplOptions.InternalCall), WrapperlessIcall]
YanSl
03-28 6740
参考网址:http://www.mono-project.com/docs/advanced/embedding/#source-code unitychina.cn地址: http://forum.china.unity3d.com/thread-1016-1-1.html http://blog.163.com/penguin_ku/blog/static/2186970162014101
unity源码解析GameObject
lj820348789的专栏
04-06 2622
using System; using System.Collections.Generic; using System.Runtime.CompilerServices; using UnityEngine.Internal; using UnityEngineInternal; namespace UnityEngine {     public sealed class
深入理解Node.js 事件循环和回调函数
01-20
本文详细的介绍了Node.js 事件循环和Node.js回调函数,废话不多说了,具体看下面把。  一、Node.js 事件循环 Node.js 是单进程单线程应用程序,但是通过事件和回调支持并发,所以性能非常高。Node.js 的每一个 API...
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
深入浅析Node.js 事件循环
12-23
Node.js 是单进程单线程应用程序,但是通过事件和回...Node.js 单线程类似进入一个while(true)的事件循环,直到没有事件观察者退出,每个异步事件都生成一个事件观察者,如果有事件发生就调用该回调函数. 事件驱动模型
windows消息循环机制
07-11
Windows消息循环机制及API程序设计 包括了建立工程实现第一个小任务的详细步骤
dll反复加载卸载过程中遇见的诡异问题
weixin_30725315的博客
04-12 732
这两天遇见了个诡异的问题,扩展进程反复的加载和卸载一个插件的dll的时候,扩展会在启动的时候崩溃。   通过windbg查看崩溃栈: 0:024> kbChildEBP RetAddr Args to Child WARNING: Frame IP not in any known module. Following frames may be wrong.02c6f7d4 ...
06、消息循环
超大神的博客
05-09 814
1、什么是消息循环1)RunLoop就是消息循环,每个线程内部都有一个消息循环2)只有主线程的消息循环是默认是开启的,子线程的消息循环默认都不开启的2、消息循环的目的1)保证程序不退出2)负责处理输入事件3)如果没有任何时间发生,使程序处于休眠状态3、消息循环的输入事件Runloop接收输入事件来自于两种不同的源:输入源(input source)定时源(timer source)4、消息循环的模...
SendMessage、PostMessage原理
迷茫的小莱
03-23 847
SendMessage、PostMessage原理本文讲解SendMessage、PostMessage两个函数的实现原理,分为三个步骤进行讲解,分别适合初级、中级、高级程序员进行理解,三个步骤分别为:1、SendMessage、PostMessage的运行机制。2、SendMessage、PostMessage的运行内幕。3、SendMessage、PostMessage的内部实
消息循环检测机制c语言,windows消息循环机制
weixin_42099070的博客
05-22 316
首先来了解几个基本概念:消息:在了解什么是消息先来了解什么是事件。事件可分为几种,由输入设备触发的,比如鼠标键盘等等。由窗体控件触发的,比如button控件,file菜单等。还有就是来自Windows内部的事件。这三种称为事件。而消息,是由事件翻译而来的。事件产生消息。从数据结构角度来讲,消息是一种结构体。结构如下:typedef struct tagMSG{HWND hwnd; //窗口句柄。...
Windows程序设计第三章——消息循环的详解
qq_40627648的博客
11-29 375
什么是消息循环,它如何工作? 1.消息循环调用while循环中的GetMessage()函数,GetMessage()函数在消息队列中寻找消息。如果没有消息,程序就一直“停”在while循环中。 2.当一个消息进入消息队列时,比如你点击鼠标触发了一个消息。GetMessage()函数返回一个大于0的值,表示这个消息正在被处理,并给msg结构体赋值。 (WM_QUIT消息 GetMessage()函...
unity源码解析Texture
lj820348789的专栏
05-07 3288
Texture类继承自Object是作为一个Texture2D与Texture3D的基类存在的,一般也并不直接使用它,且其本身也并没有对纹理数据的存储 using System; using System.Runtime.CompilerServices; namespace UnityEngine {     public class Texture : Object
SendMessage、PostMessage原理 (内部运行机制)
电脑翻译官的专栏
01-17 1110
SendMessage、PostMessage原理 2011-02-12 16:02:29 标签:SendMessage PostMessage 休闲 职场 SendMessage、PostMessage原理 本文讲解SendMessage、PostMessage两个函数的实现原理,分为三个步骤进行讲解,分别适合初级、中级、高级程序员进行理解,三个步骤分别为:
对窗口过程函数WndProc()的一点理解
热门推荐
On the way
03-03 1万+
函数原型:          LRESULTCALLBACK WndProc(HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)          窗口过程函数决定了当一个窗口从外界接收到不同的信息时,所采取的不同反应,即主要用于处理发送给窗口的信息。hwnd是要处理窗口的句柄;message是消息ID,代表了不同的消息类型;wPara
消息队列q od考试
最新发布
09-11
消息队列(Queue)是一种在数据结构中常见的数据存储方式,它按照"先进先出"原则进行操作。"Q"代表队列,"od"代表操作系统。...通过深入学习和理解这些知识,我们能够更好地理解和应用消息队列,提升系统的性能和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值