逆向分析mfc程序

最新推荐文章于 2024-05-31 20:40:53 发布
最新推荐文章于 2024-05-31 20:40:53 发布
阅读量2.1k 收藏 2
点赞数
原文链接:http://blog.51cto.com/haidragon/2119196
版权

1.查看版本
逆向分析mfc程序
2.运行程序看看
逆向分析mfc程序
目的是点亮确定按扭 思路很多(直改exe文件 字符串搜索等)这里用api下断分析
可以看出是vc2013 那就下点击断点 思路找特征码(与版本相关)
2013 按扭事件
逆向分析mfc程序

特征码
VS2013 Debug 静态编译
CALL DWORD PTR SS:[EBP-0x8]
VS2013 Release 版静态编译
CALL DWORD PTR SS:[EBP+0x14]

直接载入od搜特征码
逆向分析mfc程序
逆向分析mfc程序
先运行程序
然后全部下断 然后一个个试去掉没用的
逆向分析mfc程序
开始分析
点击第一个
逆向分析mfc程序
步入发现对称
最开始
逆向分析mfc程序
最后
逆向分析mfc程序
可以确定是
UpdateData(TRUE)
UpdateData(FALSE)
中间的代码很定是用户实现找其中的call应该就是解密的
果然有个跳转与call
逆向分析mfc程序
到这里应该想到按扭上的数字保存在哪
这里哪个才是
逆向分析mfc程序
应该是类的首地址加偏移不行就一个个进去看看对比
通过下面可以看出ecx为this指针 它又给eax

逆向分析mfc程序
同时想下 成员变量很定离首地址很远 猜eax+0xe4
逆向分析mfc程序
数据窗口跟随果然是一段初始化为0的地址
逆向分析mfc程序
找到了数据那就一个按扭一个按扭去试看有什么变化
逆向分析mfc程序
通过分析
逆向分析mfc程序
后面是什么还是不怎么清析
那就进
UpdateData(TRUE)
UpdateData(FALSE)之间的call看看
前面条件先nop
逆向分析mfc程序
步入
逆向分析mfc程序
发现一些可疑数据
一个个用数据窗口跟随看看
逆向分析mfc程序
发现就是后面那一段的数据
分析结果
从那开始的数据必须是 011010101
逆向分析mfc程序

再回到外面 这里的意思是总和必须等于9(每点一点加上按扭上的数)
逆向分析mfc程序
再分析 内存 前面一段是每个按的数据 后面一段是按第一次为1第二次又变为0 再加上前面说的总和必须为9 也就是说所有按扭都必须按一次
那答案就出来了 有的按俩次(0)有的按一次(1)
分析正确
逆向分析mfc程序

转载于:https://blog.51cto.com/haidragon/2119196

weixin_33894640
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【线程同步系列1】基于Mutex的VC++多线程同步
业精于勤,荒于嬉
09-05 340
第一个参数传入NULL,使用默认安全性第二个参数为TRUE,指示互斥对象初始拥有者,如果为TRUE,调用者创建这个互斥对象,调用的线程获得互斥对象的所有权;否则,调用线程不获得对象的所有权。第三个参数给互斥对象起个名字,如果传入NULL,则创建匿名的互斥对象。互斥对象(mutex)属于内核对象,它能够确保线程拥有对单个资源的互斥访问权。互斥对象包含一个使用数量,一个线程ID和一个计数器。ID用于标识系统中的哪个线程当前拥有互斥对象,计数器用于指明该线程拥有互斥对象的次数。
UpdateData引发的API使用的思考
特权份子的专栏
09-30 360
UpdateData引发的API使用的思考 在CSDN上看到一网友问起一题目,关于UpdateData函数无效的情况。出错代码如下: ?[Copy to clipboard]View Code CPP 1 2 3 4 5 6 7 w
MFC程序反汇编之快速定位
04-25 5903
 目的:快数定位全局对象的构造函数 类的虚函数表 MessageMap表工具:IDA4.8 VC6SP61. Vc6迅速生成一个mfcdemo,基于dialog,整个程序由一个CWinApp子类和一个CDialog子类构成2. 编译得到release/mfcdemo.exe3. 给当前系统配置好symbol,用IDA4.80反汇编mfcdemo.exe4. 通过IDA names页可以迅速
MFC:初步理解序列化与反序列化(含代码实现)
最新发布
m0_72128260的博客
05-31 583
初步理解MFC序列化与反序列化实现思路,实现简要代码验证。
C++程序正向编译逆向反编译(一)
dzqxwzoe的博客
01-31 4082
并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带securitycookie保护的环境中,就不能正常溢出了。其原理是在所有变量入栈前,多压入一个变量(随机数),然后函数执行完之后,再去检查这个数是不是一样的,这也是一个编译器行为,_RTC_CheckStackVars第一个参数是函数要检查的栈顶地址,第二个参数指向结构体_RTC_framedesc。该结构体第一个参数是压栈的局部变量个数,第二个参数保存局部变量相关信息。分别是变量的栈偏移地址,变量大小和变量的名字。
反编译程序ExeToc 2011v1.01 (源代码)[转载pediy.com_红尘岁月]
07-15
最近一直都在看ExeToc的源码,仔细看一看,问题比较的多,但是,至少整体框架有了。 这次修改主要是几点: 1、给伪代码视图上了颜色 (反编译后有三个视图,反汇编视图、反编译视图与伪代码视图),快捷键分别是 a、d、i 代码: void CRorEditView::OnChar(UINT nChar, UINT nRepCnt, UINT nFlags) { CRorTextView::OnChar(nChar, nRepCnt, nFlags); if (nChar == 'i' || nChar == 'I') // 显示伪代码信息 { this->ResetView(); this->DeleteAll(); this->LocateTextBuffer()->m_xml.Clear(); g_EXE2C->Hxd_prtout_Pcode(&this;->m_pTextBuffer->m_xml); this->Invalidate(); return; } if (nChar == 'a' || nChar == 'A') // 显示汇编信息 { this->ResetView(); this->DeleteAll(); this->LocateTextBuffer()->m_xml.Clear(); g_EXE2C->hxd_prtout_Asm(&this;->m_pTextBuffer->m_xml); this->Invalidate(); return; } if (nChar == 'd' || nChar == 'D') // 反编译的信息按CPP格式显示 { this->ResetView(); this->DeleteAll(); this->LocateTextBuffer()->m_xml.Clear(); g_EXE2C->prtout_cpp(&this;->m_pTextBuffer->m_xml); this->Invalidate(); } } 2、修改了cmp伪代码与jxx代码的合并函数(还需要完善) 3、修改了变量优化函数 (还需要完善) 4、修改了流程分析函数(还需要完善,我正在改写这部分,没写完,原先相同功能的代码也没有删除) 我感到凭我个人的精力是不能完成此程序的,有兴趣的网友可以一起写一写。 如果你在分析程序时,反汇编时显示unknown的代码,或伪代码中显示unknown的代码,或跳转while、for等循环没有分析出来,不要惊讶。这些都需要大量的精力,需要大家共同完善
MFC程序逆向—消息篇
01-05
本文目的就是以一个MFC...消息路径的所有站点,这样就可以任意定位MFC 的所有消息事件,可以从任一站点切入,进行跟踪分析MFC 的处理过程。甚 至可以从PumpMessage 大本营出发,一直全程跟踪,做到心中有数,不慌不乱。
MFC 消息逆向分析.pdf
08-06
逆向分析MFC消息处理的关键在于理解消息从产生到被处理的整个路径。szdbg在他的文章中详细记录了这一过程,从最开始的`CWinThread::PumpMessage`函数开始,消息的旅程便开始了。 #### CWinThread::PumpMessage 这...
MFC防QQ聊天程序例子两个
04-07
"MFC程序,使用VS直接打开运行即可"提示我们,这些项目是用Visual Studio(VS)开发的,可以直接在该IDE环境下编译和运行,这对于学习和理解MFC编程以及相关防止聊天机制的实现非常有帮助。 【标签】"MFC"、"QQ"、...
MFC 消息逆向分析 (看雪PDF文档) [评价可免费]
08-25
的确, .Net之类的程序必定是大势所趋,不过,就目前来说,MFC程序在软件市场还是占有重要的一席之地,所以,了解它,对于逆向和破解此类程序还是很有必要的. MFC之所以显的复杂,就在于它隐藏了它的消息的处理机制,可以说,...
MFC_666666.zip
08-24
这个"MFC_666666.zip"压缩包包含了一些MFC程序的实例和IDA(Interactive Disassembler)数据库文件,对于学习和理解MFC编程以及逆向工程的初学者来说是一个宝贵的资源。 MFC是微软对Windows API的封装,它提供了一...
exe文件反编译软件
04-11
包括PE Explorer和Resource Hacker
OD暴力破解+注册码跟踪详细高清教程
01-04
OD暴力破解+注册码跟踪详细高清教程 纯属爱好 如有失误 请各位大侠指教
MFC窗口和按钮事件-正向与逆向分析
qq_20031585的博客
05-08 1780
模态窗口和非模态窗口是子窗体的两种类型。模态窗口有时会作为一种授权手段,总在最前挡住主窗体,需要注册才能使用软件,另外,通过窗体的监控,我们会更了解MFC程序的exe结构,所以走一遍看看。
EXE反编译方法及工具
热门推荐
佳木成林
09-30 15万+
方法一:VS自带反编译DLL工具 VS命令提示符下输入ILDasm。 VS命令提示符:开始-程序-Visual Studio-命令提示符 方法二:OLLYDBG https://jingyan.baidu.com/article/dca1fa6f59cc6bf1a540524a.html 方法三:ILSpy https://jingyan.baidu.com/article/5bb
MFC逆向流程
Sanky0u的博客
08-10 7118
以前没有认真解出过MFC的题目,自上次和师姐一起研究完病毒,似乎打通了任督二脉?今天竟然两个都解出来了,不过比较简单,也还是很开心啦~~~ 题目链接:链接: https://pan.baidu.com/s/1qjp05vO0FWJXhVrGUndbbA 密码: v8bt 第一题 CrackMe2.exe 先运行一下 首先Resource Hacker查找资源,得到Resource。 ...
MFC程序逆向 – 消息篇(下)
zhangting1987的专栏
05-12 1657
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同一窗
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值