逆向MFC程序

最新推荐文章于 2024-05-31 20:40:53 发布
置顶 最新推荐文章于 2024-05-31 20:40:53 发布
阅读量3.1k 收藏
点赞数 2
分类专栏: 逆向 逆向安全 文章标签: 逆向分析 软件逆向 MFC调用顺序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175419/article/details/97618345
版权

文章目录

1 MFC执行流程

1.1 环境支持

  • vs 2017
  • afxwin.h,afxcdialogex.h

1.2 分析

​ 在 vs 调试窗口中 有一个“反汇编窗口”,同样也可以下断点,步过步入等。

则可以汇编层可以详细的 步过/步入 每一个 详细的步骤—得以知道详细的系统/库的API调用、获取栈回溯情况等等

1.3 实践探索

1.3.1 创建一个MFC程序

主要重写CWinApp::InitInstance() 和 自定义个一个对话框类(以实现一个简单界面)

注意: 对话框资源文件我没列出来,因为只有一个对话框和一个按钮点击

我的Demo如下:

  • 自定义程序入口
//CMyWinApp.cpp
#include "mywinapp.h"
#include"wndDlg.h"

myWinapp App;
myWinapp::myWinapp(){}
myWinapp::~myWinapp(){}
BEGIN_MESSAGE_MAP(myWinapp,CWinApp)
END_MESSAGE_MAP()
BOOL myWinapp::InitInstance()
{
	wndDlg * TWND = new wndDlg;
	m_pMainWnd = (CDialog*)TWND;
	TWND->DoModal();
	CWinApp::InitInstance();
	return 0;
}
  • 自定义对话框
// wndDlg.cpp: 实现文件
//

#include "stdafx.h"
#include "wndDlg.h"
#include "afxdialogex.h"
#include"resource.h"

// wndDlg 对话框
IMPLEMENT_DYNAMIC(wndDlg, CDialogEx)
wndDlg::wndDlg(CWnd* pParent /*=nullptr*/): CDialogEx(IDD_DIALOG1, pParent){}
wndDlg::~wndDlg(){}
void wndDlg::DoDataExchange(CDataExchange* pDX)
{
	CDialogEx::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(wndDlg, CDialogEx)
	ON_BN_CLICKED(IDC_BUTTON1, &wndDlg::OnBnClickedButton1)
END_MESSAGE_MAP()
// wndDlg 消息处理程序
void wndDlg::OnBnClickedButton1()
{
	MessageBox("hello Leibso-HUANGHAI/黄海");
}

1.3.2 下关键断点并调试

比如这儿 我想探索关键函数 InitInstance()的位置

  • 1.关键断点

    在这里插入图片描述

    注意: DoModal()是模态对话框,当你断这儿的时候F10,只有当退出的时候才会步过

  • 2.调出反汇编窗口

    在这里插入图片描述

  • 3.查看调用堆栈窗口

    在这里插入图片描述

    解析: 很清晰的看出MFC程序的调用顺序是WinMain()–>AfxWinMain()–>InitInstance()

  • 结束了吗?

    并没有。。

1.4 转向MFC库源文件中观测

  • 继续上面的步骤在反汇编窗口键入F10
  • 直到走出这个InitInstance()
  • 我们会发现来到了一片绿洲-- 库代码
  • 鼠标中键往上滑动发现当前的源文件 路径+名
  • 这就是我们的 MFC库源文件之一

在这里插入图片描述

  • 注意: 这里的路径有可能不是你正确的路径(因为可能重复卸载安装了VS的缘故)

    • 解决:使用文件搜索工具 (我这里使用的是everything)-- 搜索处此名为winmain.cpp

      在这里插入图片描述

      这个标记的就是了

  • 然后用VS打开这个文件,你会发现你的断点就在上面清晰的源代码就出来了

在这里插入图片描述

2 逆向

我们看了源代码后可以发现如此复杂的想从入口函数一步一步往后找有点浪费精力

所以–使用特征码

2.1 特征码的选择(比如我这里还是想找到InitInstance())

那在刚才的反汇编窗口中找到关键汇编代码,行数越多越精确

注:关键代码 不能包含地址之类的这样可能会出问题,因为可能会有重定位之类数据不确定的问题

如图:

在这里插入图片描述

那:

这几条语句就可以作为我们的特征码

mov         eax,dword ptr [edx]  
mov         esi,esp  
mov         ecx,dword ptr [eax+58h]  
mov         dword ptr [ebp-24h],ecx  
mov         edi,esp  
mov         ecx,dword ptr [ebp-24h]

2.2 使用调试工具(OD) 搜索特侦码

使用OD动态调试 搜索以下代码序列,就可以得到这个函数的地方了

如图:

在这里插入图片描述

之后就可以下断点 动态分析了

咐语

其他平台程序的逆向也可以使用这种方法:搭建平台–>写一个Demo程序–>熟悉流程–>找目标特征码

leibso
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反编译工具(DLL 转c/c++ 工具)
09-15
反编译工具(DLL 转c/c++ 工具); 内有工具使用说明。
MFC程序逆向 – 消息篇(上)
zhangting1987的专栏
05-12 1248
标 题: 【原创】MFC程序逆向 – 消息篇(上)+(下) 11楼作 者: szdbg时 间: 2007-10-31,06:26链 接: http://bbs.pediy.com/showthread.php?t=54150前言:记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断不下来,在系统模块中经常转得晕头转向,而一无所获。MFC
MFC:初步理解序列化与反序列化(含代码实现)
m0_72128260的博客
05-31 586
初步理解MFC序列化与反序列化实现思路,实现简要代码验证。
MFC程序逆向 – 消息篇
phenixyf的专栏
05-09 1339
作 者: szdbg时 间: 2007-10-31,06:26:02链 接: http://bbs.pediy.com/showthread.php?t=54150 前言: 记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断不下来,在系统模块中经常转得晕头转向,而一无所获。 MFC程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC消息...
攻防世界逆向高手题之mfc逆向-200
沐一 · 林 的博客
01-02 2151
攻防世界逆向高手题之mfc逆向-200 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的mfc逆向-200 MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。 . . 照例下载附件,扔入exeinfope中查看信息: . . 照例运行一下查看主要回显信息: 首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。 . . 在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧) 以下
逆向分析mfc程序
weixin_33894640的博客
05-22 2165
1.查看版本2.运行程序看看目的是点亮确定按扭 思路很多(直改exe文件 字符串搜索等)这里用api下断分析可以看出是vc2013 那就下点击断点 思路找特征码(与版本相关)2013 按扭事件 特征码 VS2013 Debug 静态编译 CALL DWORD PTR SS:[EBP-0x8] VS2013 Release 版静态编译 CALL DWORD PTR SS:[EBP+0x14] 直接载...
MFC程序逆向
足球中国的专栏
10-14 2510
MFC程序逆向  标 题: 【原创】MFC程序逆向 – 消息篇(上)+(下) 11楼 作 者: szdbg 时 间: 2007-10-31,06:26:02 链 接: http://bbs.pediy.com/showthread.
PE文件-C++-MFC-IDA-逆向分析-x32dbg
插件开发
06-28 1763
  按shift+enter返回。在IDA中查找对话框初始化函数。如下图所示:   在x32dbg中,对应的模块如下图所示:   在查找初始化函数时,可以先定位初始化函数。然后在虚函数中,有调用原始函数,所以原始函数返回,即为目标函数所在的位置。如下图所示: 如果在x32dbg中找到一个地址,可以在IDA中查看,这个函数的代码,如下图所示:   通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:   .text:00401165 loc_401165: ;CODE XREF:sub_4011
MFC 程序逆向
闻道有先后,术业有专攻,如是而已。
05-12 1548
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函 数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种 消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同
190326 逆向-MFC逆向技巧
热门推荐
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
MFC程序逆向—消息篇
01-05
本文目的就是以一个MFC 的标准对话框程序为例,同时从源码和反汇编代码两方面来研究MFC 消息的流程走向,弄清MFC 消息路径的所有站点,这样就可以任意定位MFC 的所有消息事件,可以从任一站点切入,进行跟踪分析MFC ...
XCTF mfc逆向-200
12-22
这是一个MFC程序,但我不会。。。 但是我知道mfc程序应该都是一个个控件组成 发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息(具体的好像是Windows的消息机制,菜鸡...
MFC实现的不围棋程序
12-20
《不围棋程序实现详解——基于MFC的棋盘游戏开发》 在计算机编程领域,实现一个游戏往往是一项挑战,尤其当这个游戏规则独特时。本文将详细介绍如何使用Microsoft Foundation Classes (MFC)框架来开发一款名为“不...
MFC防QQ聊天程序例子两个
04-07
"MFC程序,使用VS直接打开运行即可"提示我们,这些项目是用Visual Studio(VS)开发的,可以直接在该IDE环境下编译和运行,这对于学习和理解MFC编程以及相关防止聊天机制的实现非常有帮助。 【标签】"MFC"、"QQ"、...
MFC】05.MFC六大机制:程序启动机制-笔记
WdIg-2023的博客
08-07 2120
MFC程序开发所谓是非常简单,但是对于我们逆向人员来说,如果想要逆向MFC程序,那么我们就必须了解它背后的机制,这样我们才能够清晰地逆向MFC程序,今天这篇文章就来带领大家了解MFC程序启动机制: 再总结一下MFC程序启动机制: - 首先是theApp,也就是我们自己的窗口类(CMyApp)的构造,也就是CWinApp的构造,在构造函数中: 1. 将theApp的地址,保存到了当前应用程序线程状态信息中 2. 将theApp的地址,保存到了当前应用程序的模块状态信息中
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
微信pc版逆向获取小程序源码
09-07
微信PC版逆向获取小程序源码是指通过逆向工程的方法,对微信PC版进行分析和研究,以获取小程序的源码。 首先,逆向工程是对软件进行反向分析的过程,通过分析软件的二进制代码、反编译和调试,以获取软件的内部实现和源码。 要逆向获取小程序源码,我们首先需要通过一些工具和技术手段对微信PC版进行逆向分析。这可能涉及使用反编译工具、调试器和逆向工程技术等。 通过逆向分析微信PC版,我们可以获取到小程序在PC端的运行环境和相关的源码信息。可以分析小程序的请求和响应数据,了解小程序的工作原理以及和微信PC版的交互过程。 然后,我们可以对获取到的源码进行分析和研究。通过阅读源码,可以了解小程序的业务逻辑、界面设计、数据交互等方面的实现细节。这有助于我们更深入地理解小程序的运行机制,并为后续的开发和优化提供参考。 需要注意的是,逆向获取小程序源码存在法律和道德风险。对于商业小程序来说,它们的源码是开发者的知识产权,未经许可获取源码可能侵犯了知识产权法。此外,在逆向工程过程中,可能会对软件的安全性进行攻击或者破坏,这也是不被允许的行为。 因此,在合法和道德的前提下,如果我们需要获取小程序的源码,应该通过与开发者合作、遵守开发者协议等方式来获取。这样不仅可以保证合法性和安全性,还能与开发者建立良好的合作关系,促进行业的良性发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值