滴水逆向-ESP_EBP寻址_定位回调函数

最新推荐文章于 2024-06-04 18:06:23 发布
最新推荐文章于 2024-06-04 18:06:23 发布
阅读量876 收藏 1
点赞数
分类专栏: 滴水逆向第三期-实践 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tscg_/article/details/131773114
版权

ESP寻址

ESP作为堆栈指针寄存器,存储栈顶指针指向的地址。但是当出现堆栈传参之类的操作时,栈顶发生了变化,就需要先对栈顶指针进行修正后再用ESP进行寻址,比较麻烦

EBP寻址

EBP指向的是栈底,如果栈顶发生变化,也只会改变ESP的值。这时我们就可以通过EBP来寻址更为方便

回调函数的定位

下面有一个简单的窗口程序:

#include "stdafx.h"
#include "Tools.h"

HINSTANCE hAppInstance;

LRESULT CALLBACK WindowProc(  
	IN  HWND hwnd,  
	IN  UINT uMsg,  
	IN  WPARAM wParam,  
	IN  LPARAM lParam  
	);  


int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
 	// TODO: Place code here.
	hAppInstance = hInstance;
	
	//窗口的类名
	PSTR className = "My First Window"; 
	
	// 创建窗口类的对象 
	WNDCLASS wndclass = {0};						//一定要先将所有值赋值
	wndclass.hbrBackground = (HBRUSH)COLOR_MENU;	//窗口的背景色
	wndclass.lpfnWndProc = WindowProc;				//窗口过程函数
	wndclass.lpszClassName = className;				//窗口类的名字	
	wndclass.hInstance = hInstance;					//定义窗口类的应用程序的实例句柄

	
	// 注册窗口类  
	// 参加MSDN文档RegisterClass->Parameters:
	// You must fill the structure with the appropriate class attributes 
	// before passing it to the function. 
	RegisterClass(&wndclass);  
	
	// 创建窗口  
	HWND hwnd = CreateWindow(  
		className,				//类名
		"我的第一个窗口",		//窗口标题
		WS_OVERLAPPEDWINDOW,	//窗口外观样式  
		10,						//相对于父窗口的X坐标
		10,						//相对于父窗口的Y坐标
		600,					//窗口的宽度  
		300,					//窗口的高度  
		NULL,					//父窗口句柄,为NULL  
		NULL,					//菜单句柄,为NULL  
		hInstance,				//当前应用程序的句柄  
		NULL);					//附加数据一般为NULL
	
	if(hwnd == NULL)			//是否创建成功  
		return 0;  
	
	// 显示窗口  
	ShowWindow(hwnd, SW_SHOW);  
	
	// 更新窗口  
	UpdateWindow(hwnd);  
	
	// 消息循环  
	MSG msg;  
	while(GetMessage(&msg, NULL, 0, 0))  
	{  
		TranslateMessage(&msg);  
		DispatchMessage(&msg);  
	}  
	
	return 0;  
}


LRESULT CALLBACK WindowProc(  
	IN  HWND hwnd,  
	IN  UINT uMsg,  
	IN  WPARAM wParam,  
	IN  LPARAM lParam  
	)  
{  
	switch(uMsg)
	{
		//窗口消息
		case WM_CREATE: 
			{
				DbgPrintf("WM_CREATE %d %d\n",wParam,lParam);
				CREATESTRUCT* createst = (CREATESTRUCT*)lParam;
				DbgPrintf("CREATESTRUCT %s\n",createst->lpszClass);
				break;
			}
		case WM_MOVE:
			{
				DbgPrintf("WM_MOVE %d %d\n",wParam,lParam);
				POINTS points = MAKEPOINTS(lParam);
				DbgPrintf("X Y %d %d\n",points.x,points.y);
				break;
			}
		case WM_SIZE:
			{
				DbgPrintf("WM_SIZE %d %d\n",wParam,lParam);
				int newWidth  = (int)(short) LOWORD(lParam);    
				int newHeight  = (int)(short) HIWORD(lParam);   
				DbgPrintf("WM_SIZE %d %d\n",newWidth,newHeight);
				break;
			}
		case WM_DESTROY:
			{
				DbgPrintf("WM_DESTROY %d %d\n",wParam,lParam);
				PostQuitMessage(0);
				return 0;
				break;
			}
		//键盘消息
		case WM_KEYUP:
			{
				DbgPrintf("WM_KEYUP %d %d\n",wParam,lParam);
				break;
			}
		case WM_KEYDOWN:
			{
				DbgPrintf("WM_KEYDOWN %d %d\n",wParam,lParam);
				break;
			}
		//鼠标消息
		case WM_LBUTTONDOWN:
			{
				DbgPrintf("WM_LBUTTONDOWN %d %d\n",wParam,lParam);
				POINTS points = MAKEPOINTS(lParam);
				DbgPrintf("WM_LBUTTONDOWN %d %d\n",points.x,points.y);
				break;
			}
		default:  
			return DefWindowProc(hwnd,uMsg,wParam,lParam);
	}
	return 0;  
}

这个窗口程序一共有六步:创建窗口类、注册窗口类、创建窗口、显示窗口、消息循环以及回调函数。在创建窗口类的时候会初始化窗口结构体的一些值,其中就包括了lpfnWndProc。lpfnWndProc储存了回调函数的地址,在而注册窗口类时用到的函数RegisterClass()会将这个窗口类的信息拿去注册。也就是说,只要找到RegisterClass()函数,再从它注册的内容中找到lpfnWndProc指向的地址,就能定位到这个回调函数

F8下来找到函数RegisterClass()在这里插入图片描述
RegisterClass()函数只有一个参数,我们有理由猜测004010BC处的PUSH EDX语句就是传递的这个参数

然后我们单步到这个位置,查看堆栈
在这里插入图片描述
我们发现现在堆栈里面有连续的十个0,而刚好WNDCLASS类有十个成员,与我们的猜想有些印证。所以接下来我们锁定堆栈,单步到call,我们发现这四个mov指令刚好传进来4个参数,和我们初始化wndclass的成员数量一样
在这里插入图片描述
我们查文档,发现第二个参数就是lpfnWndClass
在这里插入图片描述
所以我们就找到了回调函数的地址
在这里插入图片描述

具体事件的消息定位

假设我们捕获鼠标左键的消息,我们先反汇编跟到上面这个回调函数的地方
在这里插入图片描述
由于消息是一直都在循环的,打开一个窗口就会出现好几十个事件,如果断在这里,会一直触发事件,不停地在这里下断点,因此我们在这里下一个条件断点在这里插入图片描述
而由于MSG结构体里面的第二个成员就是消息ID,所以我们把条件加在[esp+8]处(假设只捕获鼠标左键的消息)

所有内容均参考滴水逆向三期

a11ure_1ove
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mistletoe-ebp-master_PURE_ebp_
10-03
This is a version of mistletoe maintained by the Excutable Book Project (EBP). It tracks the myst branch of ExecutableBookProject/mistletoe which eventually it is hoped will be merged into mistletoe ...
Win32子窗口创建,子窗口回调函数消息堆栈,逆向定位窗口消息处理过程
WdIg-2023的博客
05-16 1786
本专栏上一篇文章中我们讲解了Win32程序入口识别,定位回调函数,具体事件处理的定位,这一章节中我们来讲解一下子窗口的创建,子窗口回调函数,并且逆向分析子窗口消息处理过程。
逆向工程核心原理》学习笔记(一):代码逆向技术基础
闵行小鱼塘
12-12 2959
开始学习逆向,从《逆向工程核心原理》这本经典开始,本篇笔记是第一部分:代码逆向技术基础
Win32 ESP寻址 _ 定位回调函数
2301_77816603的博客
11-24 55
第一个参数 :hInstance表示该程序当前运行的实例的句柄,这是一个数值。当程序在 Windows 下运行时,它唯一标识运行中的实例(注意,只有运行中的程序实例,才有实例句柄)。一个应用程序可以运行多个实例,每运行一个实例,系统都会给该实例分配一个句柄值,并通过 hInstance 参数传递给 WinMain 函数。第二个参数:表示当前实例的前一个实例的句柄。通过查看 MSDN 我们可以知道,在 Win32 环境下,这个参数总是 NULL ,即在 Win32 环境下,这个参数不再起作用。
获得当前进程的窗口
weixin_44764579的博客
05-27 1027
1.定义结构体 typedef struct { HWND hWnd; DWORD dwPid; }WNDINFO;//定义包含进程id和窗口句柄的结构体
ESP32 IDF开发 应用篇⑬ 连接Wifi回调函数esp_event_handler_register专题
lu330274924的博客
11-12 817
在前面章节已经为大家介绍了ESP32 WIFI STA 及AP模式的基本应用,本章是基于上一个章节的详细解析篇所以理论不多说,直接主题。函数的实现是在esp-idf\components\esp_event\default_event_loop.c文件中函数的功能:将事件处理程序注册到系统事件循环,在这里也列数来几个参数的功能/*** @brief 将事件处理程序注册到系统事件循环。*此函数可用于注册以下任一处理程序:(1)特定事件,
汇编笔记【滴水逆向
m0_58213960的博客
01-12 4612
汇编笔记【滴水逆向
8. ESP寻址 EBP寻址
weixin_34092370的博客
09-20 516
寄存器传参和堆栈传参 寄存器传参 MOV ECX,1 MOV EBX,2 CALL XX MOV EAX,ECX ADD EAX,EBX RETN 堆栈传参 --ESP寻址 PUSH 1 PUSH 2 CALL XXX MOV EAX,DWORD PTR SS:[ESP+8] //当内存中括号中包含ESP或者EBP的话 用SS ADD EAX,DWORD PTR SS:[ESP+4...
ExpectationBackpropagation-EBP_Matlab_Code
08-09
ExpectationBackpropagation-EBP_Matlab_Code-archive-refs-heads-master.zip
Python库 | mistletoe_ebp-0.8.1-py3-none-any.whl
03-22
python库,解压后可用。 资源全名:mistletoe_ebp-0.8.1-py3-none-any.whl
SAP_SRM_Advanced_EBP_Cookbook
10-30
初学SRM很不错的一本书,详细的配置步骤。
Java高级特性:泛型、集合框架和异常处理
Programming Talk
05-31 624
try {在本篇文章中,我们深入探讨了Java的高级特性,包括泛型、集合框架和异常处理。泛型使得代码更加灵活和类型安全,集合框架提供了丰富的数据结构,而异常处理则帮助我们编写健壮的代码。掌握这些特性将极大地提升你的Java编程技能。在接下来的文章中,我们将继续探索Java的更多高级特性和实际应用,包括并发编程、文件I/O和网络编程等。希望你能继续关注并享受学习的过程!如果你有任何问题或需要进一步的解释,请在评论区留言。我们将尽快回复。
【HarmonyOS】输入框焦点控制实现键盘显隐
我的小窝
05-31 379
鸿蒙HarmonyOS输入框控件TextInput动态控制实现键盘显示和隐藏。
【C++】List模拟实现
Renswc的博客
05-31 1821
C++中的list是一种双向链表(doubly linked list)的实现。它是C++标准库中的一种容器,可以存储一系列元素,并且允许在任意位置插入、删除和访问元素。对于双向链表有疑问的可以点击查看数据结构——带头双向循环链表详解对于list大部分和前面学习过的vector类似,关键点在于理解list的迭代器的封装以及const迭代器,还有list实现包括了三个类,它们分别都有类模板,容易绕晕,需要好好理解清楚
stream流的常见使用
分析知识
06-04 353
stream流的常见使用
Qt 中QList、QListIterator 、QMutableListIterator、QMap用法
最新发布
castlooo的专栏
06-04 278
Qt 中QList、QListIterator 、QMutableListIterator、QMap用法
Stream流详解
m0_69005620的博客
06-01 439
*延迟方法:**返回值类型任然是Stream接口自身类型的方法,除了终结方法都是延迟方法。**终结方法:**返回值类型不再是Stream接口本身类型的方法。**意义:**不想让别人修改集合中的内容(只能查询)
NDIS Filter开发-网络数据的传输
苏洛坷的博客
06-01 617
NDIS Filter 驱动发送、接收、取消发送数据
C++11中的新特性(2)
to Keep博客
05-31 1198
C++11中的特性
mov ebp,esp pop ebp详细执行过程
05-14
这两条指令的作用是将当前栈顶指针(ESP)的值存储到EBP寄存器中,然后将栈顶元素弹出(也就是当前函数的返回地址),最后将EBP的值重新存储到ESP中,恢复栈指针。 具体的执行过程如下: 1. 首先将ESP寄存器的值存储到EBP寄存器中,这可以通过以下指令完成: `mov ebp, esp` 此时,EBP寄存器的值等于ESP寄存器的值,也就是当前栈顶指针的地址。 2. 接下来,将栈顶元素弹出,也就是当前函数的返回地址,这可以通过以下指令完成: `pop ebp` 此时,EBP寄存器的值等于当前函数的返回地址。 3. 最后,将EBP寄存器的值重新存储到ESP寄存器中,这可以通过以下指令完成: `mov esp, ebp` 此时,ESP寄存器的值等于EBP寄存器的值,也就是当前函数的栈底指针的地址。 通过这三条指令的执行,堆栈指针被恢复到函数调用前的状态,可以正常返回到调用该函数的代码处继续执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值