OD 找到windows 窗口过程并且条件断点

最新推荐文章于 2022-06-26 17:47:33 发布
最新推荐文章于 2022-06-26 17:47:33 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 逆向之旅
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/85000099
版权

今天又又又有人问我怎么看窗口注册并且 怎么下条件断点 emmmm 这个问题其实涉及到了Windows编程 如果你这个会 还请先补充一些windows编程的知识再来看这些内容

本次演示的程序是我上外挂的那个扫雷程序 

首先 先下断点在CreateWindows 下断点 然后返回到上一层 发现了

然后找找附近有没有RegisterClassW 函数

然后发现了 

看到pWndClass 我就很开心 

这个

typedef struct tagWNDCLASSEXA {
  UINT      cbSize;
  UINT      style;
  WNDPROC   lpfnWndProc;
  int       cbClsExtra;
  int       cbWndExtra;
  HINSTANCE hInstance;
  HICON     hIcon;
  HCURSOR   hCursor;
  HBRUSH    hbrBackground;
  LPCSTR    lpszMenuName;
  LPCSTR    lpszClassName;
  HICON     hIconSm;
} WNDCLASSEXA, *PWNDCLASSEXA, *NPWNDCLASSEXA, *LPWNDCLASSEXA;

可以在微软官方查到 这个就是存储我们窗口处理函数的信息了  然后我们找到这个地址 

低字节在下面 所以我们的地址就是01001bc9

我们找到这个地方并下断点

并分析出来了 我们的参数  

为什么要找第二个参数 

        
             窗口处理函数        
                LRESULT CALLBACK WindowProc(
                  __in  HWND hwnd,
                  __in  UINT uMsg,
                  __in  WPARAM wParam,
                  __in  LPARAM lParam
                );

第二个就是各种消息处理了 比如鼠标点击啦 或者菜单被点击的WM_COMMAND消息啦 等等 

下断点的话 肯定要是消息断点 要不然的话 窗口会直接卡死

断这个有什么用呢  

比如可以断下按钮事件  也可以 断下点击菜单  比如我们可以把扫雷的初级中级高级 断下来 获得他们的id

嗯 就是这样

 

pipixia233333
关注
专栏目录
OD手动查找窗口过程函数(classProc)
`小明湖畔.。のBlog
03-01 7631
有时候我们用OD查找窗口的classProc地址是不正确的,这时候可以用如下方法手动查找 1. 用OD打开被调试程序     打开 插件->API断点设置工具->常用断点设置,把CreateWindow的三个函数勾上,确定     2. 按F9让程序运行并在断点停下,直到在堆栈窗口观察到你要的窗口名字(本文以“计算器”为例) 3. 一路F8执行直到回到调用Cre
OD-常见断点设置
最新发布
青月的成长记录吖
03-21 1544
后者也是很常见的,他一般把用户输入的注册码直接或者是通过加密运算后得到的数值保存到文件、注册表中,然后提示用户重启验证是否注册,当然当你重新打开程序的时候他会从文件或者是注册表中读取用户输入的注册码,再通过程序注册算法来进行比照,正确者当然就成为正版,错误的自然就88了,另外以重启验证的软件一般是把注册码保存在注册表或文件中!跟踪时按ALT+F3、ALT+F4、ALT+F5键(分别对应VB3、VB4、VB5程序),搜寻成功后你将得到一个地址30:?,然后设置断点"bpx 30:?第二种是放在文件里。
OD查找 扫雷主窗口函数 地址
ShadowAssassin的专栏
09-10 4082
闲着没事,使用OD调试下扫雷程序,看了郁金香大牛的视频,OD载入扫雷程序,F9运行,查看——窗口(刷新),就可以看到主窗口地址,不知道什么原因,本机OD显示的地址是FFXXXXXXX地址,很明显不对,换了好几个系统也不正常。无奈,只好自己跟下。  一、OD打开扫雷程序,程序停在模块入口点出 二、ctrl + g 在 RegisterClassW函数出下断点 然后 F9运行,停
OD断点小结
hurtmanzc的专栏
10-29 4490
OD断点小结   API断点  Ollydbg中一般下API中断的方法,有二种。  1.   在代码窗口中点鼠标右键,出现功能菜单。在[搜索]选择项下有〔当前模块的名称〕和〔全部模块的名称〕俩项,选择其中的一项就打开了程序调用 API的窗口,在这个窗口中选择你要跟踪的API函数名。双击这个函数就能到程序的调用地址处。然后用F2下中断。也可以在API窗口中选择需要跟踪的函 数点鼠标右键
解决OD断点假死的小技巧
c2unix的专栏
06-26 1217
crack用OD调试一些加壳程序,如Themida等,可能你会发现下断后(包括硬件断点),程序跑到断点时,OD会出现假死现像。解决方法很简单,打开OD配置文件ollydbg.ini,你会发现: Restore windows= 123346 //这个Restore windows可能会是一个很大的值现在只需要将Restore windows=0,重新用OD调试程序,假死问题就消失了。造成这问题的原因我也不明白。...
OD破解软件找断点方法系列【2】----万能断点法(XP系统)
zhangmiaoping23的专栏
11-11 5922
【文章标题】: OD破解软件找断点方法系列【2】----万能断点法(XP系统) 【文章作者】: HPKEr 【软件名称】: MP3转换器 V5.2.0 【软件大小】: 3.20 MB 【下载地址】: http://xz.qupan.com/down/945520_5679070.html 【编写语言】: Microsoft Visual Basic 5.0 / 6.0 【使用工具】
消息断点+内存断点定位窗口过程
hambaga的博客
05-27 1187
在调试比较复杂的Win32程序时,要找到窗口过程并不容易,OD提供了两个工具:消息断点和内存断点,善用这两个工具可以大大提高调试的效率。 消息断点是给指定的消息设置断点,本质还是条件断点;内存断点有访问断点和修改断点,本文使用的是访问断点。 下面是详细步骤。 示例程序 现在有一个模拟登录的程序,效果图如下: 输入正确的账号和密码会提示成功,否则提示错误,现在并不知道账号密码。 破解步骤 只要找到点击按钮的窗口函数,就能看到账号密码了。对于简单的程序,可以从WinMain开始跟,不过这样效率低,要善用工具
OD各种断点设置技巧
qq_33597495的博客
12-26 1697
1.INT3断点 设置方法:在汇编窗口双击要断点的行,或使用命令行bp地址设置断点。 原理:当执行一个INT3断点时,该地址处的内容被调试器用INT3指令替换了,此时OD将INT3隐藏,显示出来的仍是中断前的指令。实际在内存中已经被替换成CC了。 这个INT3指令,因其机器码是0XCC,也常被称为CC指令,当被调试进程执行INT3指令导致一个异常时,调试器就会捕捉这个异常,从而停在断点处,然后将断点处的指令恢复成原来的指令。当然,如果自己编写调试器,也可以用其他指令代替INT3来触 发异常。 ..
关于OD的bp send断点 常用断点(OD)
六桥风月IT随笔
09-12 2350
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A) 创建定制消息框 bp IsDialogMessageW 拦截警告声: bp MessageBeep ...
OD常用断点
kabeor的博客
05-01 533
OD常用断点 INT 3断点 原理: 当执行一个INT 3断点时,该地址处的内容被调试器用INT 3 指令替换,此时OD将INT 3隐藏,显示中断前的指令 INT 3机器码为0xCC 004013A5 CC D0404000 68被替换为CC INT3断点可设置无限个,但改变了程序机器码,容易被检测,如检测API首地址是否为0xCC。绕过方式,将断点设在函数内部或末尾。 F2或命令行 bp...
如何获取其它进程中窗口窗口过程
10-03
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。
4. OD-去除烦人的nag窗口(去除提醒用户购买正版的警告窗口
墨痕诉清风的博客
02-26 1196
所有函数返回值均放入eax中 扩展修改nop 选中语句->右键菜单->二进制->用nop填充   三种方式 1. 修改标志位je为jmp 2. 扩选判断语句+call,全部改为nop 3. 修改MessageBoxA第一个参数为1 4. 修改PE文件头 按M窗口,寻找PE头 只有77开始的地址不是正确程序PE头。 寻找Addersso...
OD窗口介绍
qq_40591440的博客
11-24 4054
快捷键详情跳转 OD窗口分为 菜单界面 反汇编窗口 提示窗口 寄存器窗口 数据窗口 堆栈窗口 菜单界面 简述: L:显示调试信息,在程序意外结束或者产生异常的时候,可以在这里看到原因 E:模块信息,可以用于查看当前程序内所有模块的基址 M:内存信息,可以查看到目标数据在什么区段,访问权限是什么 T: 查看线程,可以在进行多线程调试的时候,挂起和恢复指定的某个或所有线程 W:窗口界面,会识别到应用程序的窗口信息。 H:用于查看内核对象 C:分析的时候使用的主窗口,可以查看很多信息 /:补丁窗口,能够显
OD窗口界面
weixin_30549657的博客
07-24 558
转载于:https://www.cnblogs.com/milantgh/p/3866734.html
OD的内存映射窗口是怎么实现的?
陈刚编程心得与知识集
01-11 1326
我怎么不能直接贴图啊,图中OD的内存映射是怎么实现的?是OD直接读取进程内存还是因为进程在创建的时候就由OD监控。 我想dump 指定进程的一段内存,但这段内存是动态分配的,我只能通过内存段的大小确定这段内存是不是我想要dump的。请问怎么实现?希望大牛指教啊。。
od基础
05-13 737
1. This is the Open button. As you’ve probably already guessed, it opens a file into Olly. 2. This is the Restart button. Fairly obvious, it restarts our executable. 3. This is the Close button.
使用OD修改程序窗口标题和提示信息
tt8889的博客
04-28 2770
本文示例的程序lcz.exe(点击下载 [](()原程序 窗口标题为I love lcz 窗口提示信息为lcz的第一个程序 [](()教程 首先打开OD工具 将本文示例程序(lcz.exe)拖进OD 在菜单栏点击插件,找到中文搜索引擎下的搜索ASCII 通过OD中文搜索插件直接找到窗口标题和窗口提示信息 假设我们要修改程序窗口的提示信息直接双击lcz的第一个程序 双击之后直接定位,可以看到push关键字,push就是往栈里面压入数据,我们直接修改掉pus.
Windows 逆向】OD 调试器工具 ( 显示模块窗口 | 显示记录窗口 | 显示内存窗口 | 显示线程 | 显示句柄 | 显示 CPU | 多窗口界面 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-15 2064
一、显示模块窗口、 二、显示记录窗口、 三、显示内存窗口、 四、显示线程、 五、显示句柄、 六、显示 CPU、 七、多窗口界面、
OD常用断点 ^_^ 很全很全
keilsi的专栏
03-28 1200
<br />常用断点(1) <br /><br />拦截窗口: <br />bp CreateWindow 创建窗口 <br />bp CreateWindowEx(A) 创建窗口 <br />bp ShowWindow 显示窗口 <br />bp UpdateWindow 更新窗口 <br />bp GetWindowText(A) 获取窗口文本 <br /><br /><br />拦截消息框: <br />bp MessageBox(A) 创建消息框 <br />bp MessageBoxExA 创建消
OD编程必备:常用断点与控制台操作技巧
本文档主要介绍了在Ollydbg这款流行的反汇编工具中,如何设置和利用OD(OllyDbg)中的常用断点,以进行深入的Windows应用程序调试。Ollydbg是一个强大的动态代码分析器,常被黑客和安全研究人员用于逆向工程和漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值