OD 中 MFC 窗口回调函数定位

最新推荐文章于 2023-03-21 23:11:40 发布
最新推荐文章于 2023-03-21 23:11:40 发布
阅读量1k 收藏 1
点赞数
分类专栏: C/C++ x86 汇编 MFC 调试 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uVarAndMethod/article/details/90343110
版权
C/C++ 同时被 3 个专栏收录
68 篇文章 1 订阅
订阅专栏
MFC
12 篇文章 0 订阅
订阅专栏
x86 汇编
6 篇文章 0 订阅
订阅专栏

瞎几吧写

 

winClass 中包含了回调函数的地址, 这个地址在结构体中第二个

RegisterClass  参数是一个指针, 而这个参数中的第二个成员就是我们要找的回调函数的地址, fllow in dis(进入回调函数中, 下一个断点)   在当前断点中下一个消息断点;

B -> edit condition        [esp+8]  ==  消息ID       条件断点    (esp+8)WindowProc的第二个参数为UINT message: 消息的ID;

push  lParam   sub esp, 4  mov ebx, dword ptr ds:[lparam] mov dword ptr ds:[esp], ebx
push  wParam   sub esp, 4  .......
push  message  sub esp, 4  ..
push  hWnd     sub esp, 4  ....


message  此时在堆栈中的位置  esp+8

 

 

 

__网瘾少年
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
怎么拦截系统函数
qq_43746825的博客
02-25 885
怎么拦截系统函数
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
窗口窗口回调函数的查找
qq_41490873的博客
01-25 593
通过消息断点查找子窗口窗口过程 win32 通过DialogBox函数创建一个对话框 `` 为主窗口提供一个窗口消息处理函数。而窗口内的各种控件不需要写处理函数,系统已经写好。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190124232407407.png?x-oss-process=image/watermark,type_ZmFuZ3poZW...
32位汇编第五讲,逆向实战干货,(OD)快速定位扫雷内存.
weixin_30409849的博客
09-16 225
      32位第五讲,逆向实战干货,快速定位扫雷内存. 首先,在逆向之前,大家先对OD有一个认识. 一丶OD的使用 标号1: 反汇编窗口 (显示代码的地址,二进制指令,汇编代码,注释) 标号2: 寄存器窗口(显示通用寄存器,段寄存器,以及浮点协处理器,32位还有多媒体寄存器) 标号3: 信息窗口  (这个主要是显示当你运行到的程序的位置处的信息) 标号4: 数据窗口 ...
OD定位IsDebuggerPresent检测地址
二狗子的Blog
01-09 1270
编写个小程序,调用IsDebuggerPresent来检测调试器是否存在 2.打开原版汉化OD并附加到程序里,这里不能使用第三方OD,因为第三方OD集成了许多插件,有一定强度的反调试功能。 附加后,OD自动在模块入口处断下。 3.Ctrl+F9,执行到返回,程序跑起来之后再按Ctrl+N,调出来查看程序用了哪些模块命令。 找到了,这个程序调用了IsDebuggerPresent。 4.右...
回调函数正确理解
dengjili的专栏
03-22 1006
回调过程 简单理解就是,A调用B,然后B在调用A 对应模型 对应代码 回调接口 package callback; public interface CallBack { void backMethod(); } 调用者 package callback.other; import callback.CallBack; public class Cal...
OD-常见断点设置
最新发布
青月的成长记录吖
03-21 1554
后者也是很常见的,他一般把用户输入的注册码直接或者是通过加密运算后得到的数值保存到文件、注册表,然后提示用户重启验证是否注册,当然当你重新打开程序的时候他会从文件或者是注册表读取用户输入的注册码,再通过程序注册算法来进行比照,正确者当然就成为正版,错误的自然就88了,另外以重启验证的软件一般是把注册码保存在注册表或文件!跟踪时按ALT+F3、ALT+F4、ALT+F5键(分别对应VB3、VB4、VB5程序),搜寻成功后你将得到一个地址30:?,然后设置断点"bpx 30:?第二种是放在文件里。
WIN10 X64下通过TLS实现反调试
liuyez123的博客
04-27 9629
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS的反调试,原理实为在实际的入口点代码执行
vc++ 应用源码包_1
09-15
代码里用了备份dll的方法,因此在自定义的函数可以直接调用在内存备份的dll代码,而不需要再把函数头部改来改去。 IOCP反弹远控客户端模型,外加上线服务端,全部代码注释! 如题。这个是IOCP远程控制软件的...
OD 有关VC++的MFC
zhangmiaoping23的专栏
06-24 2226
00401649 E8 F4120000 call 0040164E 8D4C24 2C lea ecx,dword ptr ss:[esp+2C] 00401652 C68424 F004000>mov byte ptr ss:[esp+4F0],1 0040165A E8 E3120000 call 0040165F 8D4C24 28 lea ecx,dword ptr ss:[
回调函数理解的整理(某知乎大神写的)
小小希
03-02 5167
以前看到觉得好,在编译器里写了一遍,这次想找,居然忘了地方,所以还是放这里好 package com.example.callback; public class CallBack { } /*  * 通过国好室友的例子来理解回调函数的概念  */ //有个学生要写作业,写作业的方法是现成的,但是需要作业作为入参,怎么获取作业才是关键 /*  *
OD调试MFC程序按钮事件的捕捉
热门推荐
ccnyou的专栏
06-07 1万+
经常在调试程序需要捕捉某一按钮事件,分析按钮对应的代码(如“登陆”,“注册”等) 近来无事,自己写个程序来看看MFC的消息分发流程,然后总结地写了这文章:   示例程序MfcTest,下载链接:http://download.csdn.net/detail/ccnyou/4358961 编译环境VC6+WinXP 使用工具:OD(OllyDbg) 程序截图
OD手动查找窗口过程函数(classProc)
`小明湖畔.。のBlog
03-01 7634
有时候我们用OD查找窗口的classProc地址是不正确的,这时候可以用如下方法手动查找 1. 用OD打开被调试程序     打开 插件->API断点设置工具->常用断点设置,把CreateWindow的三个函数勾上,确定     2. 按F9让程序运行并在断点停下,直到在堆栈窗口观察到你要的窗口名字(本文以“计算器”为例) 3. 一路F8执行直到回到调用Cre
OD使用之查找 API的方法
nethm的专栏
09-26 9418
一    反汇编窗口,右键--查找--当前模块的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
逆向分析之核心代码的定位
charge_release的博客
10-18 1977
逆向一般是带有强烈的目的性的, 比如逆出一个程序的某种功能的实现函数,或者是逆出一个程序的流程等等. 要完成这样的功能就需要定位到具体的函数上, 然后才能分析其代码,否则在庞大的二进制流, 信息的获取必定是极其艰难的. 在庞大的二进制流找到一个地址未知的函数. 需要推测这个函数的一些特征,没有特征就很难定位到这个函数. 因为在庞大的二进制流有着上万乃至数十万行以上的机器码
OD学习手记——常用断点
zh19991211的博客
09-08 819
汇编32位CPU所含有的寄存器有:4个数据寄存器(EAX、EBX、ECX和EDX)对低16位数据的存取,不会影响高16位的数据。这些低16位寄存器分别命名为:AX、BX、CX和DX,它和先前的CPU的寄存器相一致。4个16位寄存器又可分割成8个独立的8位寄存器(AX:AH-AL、BX:BH-BL、CX:CH-CL、DX:DH-DL),每个寄存器都有自己的名称,可独立存取。 寄存器EAX通常称为累...
一般断点
weixin_30460489的博客
09-04 338
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A...
OllyDBG找到按钮的处理函数_土拨先生
溪风的专栏
07-06 2909
OllyDBG找到按钮的处理函数2008-09-05 23:01最近系统有点慢,就想优化一下,于是下了个XX大师。结果要注册才行,看来可以用来练练手了。OD一下,靠还加了壳,偶就是用一下,就不脱你了。开始在弹出窗口MessageBoxA下断,伊,结果不是用的这个函数,看来还有点麻烦。于是在折腾了半天后偶明白了(因为是新手,所以要折腾半天),要在“全部删除”按钮的处理函数下断
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值