逆向MFC程序

已于 2023-04-13 13:54:25 修改
阅读量1.1k 收藏 1
点赞数
文章标签: mfc c++
于 2019-07-28 19:50:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175419/article/details/102865148
版权

@

1 MFC执行流程

1.1 环境支持

  • vs 2017
  • afxwin.h,afxcdialogex.h

1.2 分析

​ 在 vs 调试窗口中 有一个“反汇编窗口”,同样也可以下断点,步过步入等。

则可以汇编层可以详细的 步过/步入 每一个 详细的步骤---得以知道详细的系统/库的API调用、获取栈回溯情况等等

1.3 实践探索

1.3.1 创建一个MFC程序

主要重写CWinApp::InitInstance() 和 自定义个一个对话框类(以实现一个简单界面)

注意: 对话框资源文件我没列出来,因为只有一个对话框和一个按钮点击

我的Demo如下:

  • 自定义程序入口
//CMyWinApp.cpp
#include "mywinapp.h"
#include"wndDlg.h"

myWinapp App;
myWinapp::myWinapp(){}
myWinapp::~myWinapp(){}
BEGIN_MESSAGE_MAP(myWinapp,CWinApp)
END_MESSAGE_MAP()
BOOL myWinapp::InitInstance()
{
    wndDlg * TWND = new wndDlg;
    m_pMainWnd = (CDialog*)TWND;
    TWND->DoModal();
    CWinApp::InitInstance();
    return 0;
}
  • 自定义对话框
// wndDlg.cpp: 实现文件
//

#include "stdafx.h"
#include "wndDlg.h"
#include "afxdialogex.h"
#include"resource.h"

// wndDlg 对话框
IMPLEMENT_DYNAMIC(wndDlg, CDialogEx)
wndDlg::wndDlg(CWnd* pParent /*=nullptr*/): CDialogEx(IDD_DIALOG1, pParent){}
wndDlg::~wndDlg(){}
void wndDlg::DoDataExchange(CDataExchange* pDX)
{
    CDialogEx::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(wndDlg, CDialogEx)
    ON_BN_CLICKED(IDC_BUTTON1, &wndDlg::OnBnClickedButton1)
END_MESSAGE_MAP()
// wndDlg 消息处理程序
void wndDlg::OnBnClickedButton1()
{
    MessageBox("hello Leibso");
}

1.3.2 下关键断点并调试

比如这儿 我想探索关键函数 InitInstance()的位置

  • 1.关键断点

    在这里插入图片描述

    注意: DoModal()是模态对话框,当你断这儿的时候F10,只有当退出的时候才会步过

  • 2.调出反汇编窗口

    在这里插入图片描述

  • 3.查看调用堆栈窗口

    在这里插入图片描述

    解析: 很清晰的看出MFC程序的调用顺序是WinMain()-->AfxWinMain()-->InitInstance()

  • 结束了吗?

    并没有。。

1.4 转向MFC库源文件中观测

  • 继续上面的步骤在反汇编窗口键入F10
  • 直到走出这个InitInstance()
  • 我们会发现来到了一片绿洲-- 库代码
  • 鼠标中键往上滑动发现当前的源文件 路径+名
  • 这就是我们的 MFC库源文件之一

在这里插入图片描述

  • 注意: 这里的路径有可能不是你正确的路径(因为可能重复卸载安装了VS的缘故)

    • 解决:使用文件搜索工具 (我这里使用的是everything)-- 搜索处此名为winmain.cpp

      在这里插入图片描述

      这个标记的就是了

  • 然后用VS打开这个文件,你会发现你的断点就在上面清晰的源代码就出来了

在这里插入图片描述

2 逆向

我们看了源代码后可以发现如此复杂的想从入口函数一步一步往后找有点浪费精力

所以--使用特征码

2.1 特征码的选择(比如我这里还是想找到InitInstance())

那在刚才的反汇编窗口中找到关键汇编代码,行数越多越精确

注:关键代码 不能包含地址之类的这样可能会出问题,因为可能会有重定位之类数据不确定的问题

如图:

在这里插入图片描述

那:

这几条语句就可以作为我们的特征码

mov         eax,dword ptr [edx]  
mov         esi,esp  
mov         ecx,dword ptr [eax+58h]  
mov         dword ptr [ebp-24h],ecx  
mov         edi,esp  
mov         ecx,dword ptr [ebp-24h]

2.2 使用调试工具(OD) 搜索特侦码

使用OD动态调试 搜索以下代码序列,就可以得到这个函数的地方了

如图:

在这里插入图片描述

之后就可以下断点 动态分析了

咐语

其他平台程序的逆向也可以使用这种方法:搭建平台-->写一个Demo程序-->熟悉流程-->找目标特征码

leibso
关注
MFC逆向流程
Sanky0u的博客
08-10 7172
以前没有认真解出过MFC的题目,自上次和师姐一起研究完病毒,似乎打通了任督二脉?今天竟然两个都解出来了,不过比较简单,也还是很开心啦~~~ 题目链接:链接: https://pan.baidu.com/s/1qjp05vO0FWJXhVrGUndbbA 密码: v8bt 第一题 CrackMe2.exe 先运行一下 首先Resource Hacker查找资源,得到Resource。 ...
190326 逆向-MFC逆向技巧
热门推荐
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
MFC框架软件逆向研究
最新发布
蚁景网安学院
08-14 697
MFC库是开发Windows应用程序C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。
MFC程序逆向 – 消息篇(下)
benny5609的专栏
05-16 1300
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函 数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种 消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同
MFC程序中的消息逆向
wowbell的专栏
03-09 1537
<br />MFC中CWnd基类中包含了一个GetThisMessageMap 虚函数,用于获得指向messageMap 的指针。因此任何从CWnd派生的窗口类,都含有这个函数(在虚拟函数表中的位置好像是0x30附近)。它的代码通常形如: <br />CWnd::GetThisMessageMap<br />00511390 >/>>push    ebp<br /> 00511391 |.>mov     ebp, esp<br /> 00511393 |.>mov     eax, of
MFC程序逆向—消息篇
01-05
本文目的就是以一个MFC 的标准对话框程序为例,同时从源码和反汇编代码两方面来研究MFC 消息的流程走向,弄清MFC 消息路径的所有站点,这样就可以任意定位MFC 的所有消息事件,可以从任一站点切入,进行跟踪分析MFC ...
Windows逆向学习笔记——MFC原理:RTTI和消息映射 在逆向中的应用
weixin_38526180的博客
07-14 1087
test
XCTF mfc逆向-200
12-22
这是一个MFC程序,但我不会。。。 但是我知道mfc程序应该都是一个个控件组成 发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息(具体的好像是Windows的消息机制,菜鸡...
MFC 消息逆向分析 (看雪PDF文档) [评价可免费]
08-25
首先关于 [评价可免费] 的严重声明: 一、评价=评论加评价(评星星); 二、评价必须是下载完了该资源后的评价,没下载就评论无效; 三、如果正确评价了,返还积分可能需要等等,系统需要反应下。呵呵 评论时记得要评分。然后会返回给你花费的分再加1分.理论上有十分就可以下载完所有的资源了。一般人我不告诉他。 MFC 程序逆向 – 消息篇(上) 作者:szdbg Email:szdbg@sina.com 前言: 记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断 不下来,在系统模块中经常转得晕头转向,而一无所获。 MFC 程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC 消息流程。弄清原委之后,一切豁然开朗,发现跟 踪MFC 程序和消息处理原来是如此。。。,跟踪按钮事件处理也由此变得特别简单。 于是,我将这些研究整理成文,以备后忘。并希望大家有所帮助,失误之处,请高手指正。 的确, .Net之类的程序必定是大势所趋,不过,就目前来说,MFC程序在软件市场还是占有重要的一席之地,所以,了解它,对于逆向和破解此类程序还是很有必要的. MFC之所以显的复杂,就在于它隐藏了它的消息的处理机制,可以说, 程序员基本上不需要懂得它的消息处理过程,就可以写出一套满足应用的软件来.这有好有坏,好的是大大简化了程序员写程序的过程,坏的一方面是,给一般程序员留下了一个迷团: 我只知道这样做,而不知道为什么这样做.心里老是觉得不踏实.
MFC消息逆向分析 1
12-10
MFC消息的逆向分析,可以包含各种WM_TIMER、WM_PAINT消息等
MFC逆向指南(Basic MFC Reversing)
03-15
It's reversing, it isn't cracking!
MFC程序逆向 – 消息篇(上)+(下)
二进制天堂
08-27 2890
费尔托斯特:单用户终生版,费尔软件 杀毒软件 65.0元    标 题: 【原创】MFC程序逆向 – 消息篇(上)+(下) 11楼作 者: szdbg时 间: 2007-10-31,06:26链 接: http://bbs.pediy.com/showthread.php?t=54150前言:记得前一段时间,我刚接触软件破解和逆向
攻防世界逆向高手题之mfc逆向-200
沐一 · 林 的博客
01-02 2358
攻防世界逆向高手题之mfc逆向-200 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的mfc逆向-200 MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。 . . 照例下载附件,扔入exeinfope中查看信息: . . 照例运行一下查看主要回显信息: 首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。 . . 在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧) 以下
MFC逆向小结
weixin_33826609的博客
03-03 585
参考来自:http://www.pediy.com/kssd/pediy12/120058.html 首先看看进入main函数的c++代码 intAFXAPIAfxWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance, _In_LPTSTRlpCmdLine,intnCmdShow) { A...
MFC逆向之CrackMe Level3 过反调试 + 写注册机
jmm18363027827的博客
12-15 804
今天我来分享一下,过反调试的方法以及使用IDA还原代码 + 写注册机的过程由于内容太多,我准备分为两个帖子写,这个帖子主要是写IDA还原代码,下一个帖子是写反调试的分析以及过反调试和异常这个CrackMe Level3是一个朋友发我的,我也不知道他在哪里弄的,我感觉挺好玩的,对反调试 异常 以及代码还原的学习有一些帮助调试器:X64和OD反编译工具:IDAPE工具:Detect It Easy反调试插件:OD的StrongOD和虫子的ScyllaHideARK工具:Pchunter。
MFC应用程序逆向经验总结
weixin_34202952的博客
09-23 217
如何找到MFC App的InitInstance入口地址 OEP: 00401A83| E8 68040000 | call 00401EF0 | __security_init_cookiepping 00401A88| E9 36FDFFFF | jmp 004017C...
MFC程序逆向分析:揭示消息处理流程
"MFC程序逆向分析,主要探讨基于Windows消息的MFC结构,帮助深入理解MFC消息处理流程。" 在MFC(Microsoft Foundation Classes)编程中,消息处理是核心部分,它允许应用程序响应用户的操作,如点击按钮、移动窗口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值