mfc三视图和斜等测图实现_浅谈MFC类CrackMe中消息处理函数查找方法

最新推荐文章于 2022-02-13 21:01:07 发布
最新推荐文章于 2022-02-13 21:01:07 发布
阅读量157 收藏
点赞数
文章标签: mfc三视图和斜等测图实现 mfc中的图象保存 mfc判断对话框是否是模态 mfc最大化不调用onpaint vc+ mfc 方法怎么被调用 vs mfc 修改exe版权信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39710288/article/details/111273712
版权

最近一个学姐发给我了一份CrackMe希望我解一下,其中涉及到了MFC的消息函数查找的问题,就顺便以此为例谈一下自己使用的消息函数查找的方法。本人萌新,如果有任何错漏与解释不清的地方,欢迎各路大佬指正。

这个CrackMe是一个典型的MFC类型的程序,其框体如下:

a71d27030f9f820d6eb815c94f43f9ec.png

一、目标以及方法

首先我们确认我们的目标是找到两个"注册"按钮的对应消息处理函数,那么有什么手段可以达到我们的目标?在MFC中有一个消息映射表的概念,参考候老的描述[1],实现代码如下:

struct AFX_MSGMAP{
    AFX_MSGMAP * pBaseMessageMap;
    AFX_MSGMAP_ENTRY * lpEntries;
}
struct AFX_MSGMAP_ENTRY{
    UINT nMessage;    //Windows Message
    UINT nCode        //Control code or WM_NOTIFY code
    UINT nID;         //control ID (or 0 for windows messages)
    UINT nLastID;     //used for entries specifying a range of control id's
    UINT nSig;        //signature type(action) or pointer to message 
    AFX_PMSG pfn;     //routine to call (or specical value)
}

其中我们想要的某个控件的消息处理函数,就存放在该结构体的pfn中(其中nID与我们的控件ID相同的AFXMSGMAPENTRY中的pfn就是我们所寻找的消息响应函数)。

而由于AFX_MSGMAP一般只有一张,而且一般不是很大,所以我们只需要找到以下两个信息,即可定位消息响应函数。

我们需要的控件ID

AFX_MSGMAP

二、使用ResourceHacker寻找目标按钮控件

ResourceHacker是一个32位与64位的资源编辑器,它既是一个资源编译器(对于.rc文件),也是一个反编译器——支持查看和编辑可执行文件中的资源(* .exe;. dll;)以及已编译的资源库(.res;.mui)。ResourceHacker既支持GUI模式也支持命令行模式。

在此我们使用ResourceHacker的查看可执行文件中的资源的功能。

使用ResourceHacker加载CrackXX.exe,得到如下图的结果:

f727b6cc30a36d026c21368a3a8314c5.png

我们需要查找的控件ID在对话框中,选择对应的对话框,之后点击“注册”一行(我们需要的控件),得到对应的控件ID:

fa298d6fe9b3a0f6dfe03e419566bbd4.png

用同样的方法得到两个注册控件的ID,分别为1002与1005(注意此处控件ID是十进制不是16进制)。

那么我们已经完成第一步目标,之后就是寻找AFX_MSGMAP即可。

三、寻找AFX_MSGMAP

查询可知,我们有两个思路可以获取该AFX_MSGMAP。

AFXMSGMAP存在于.rdata段,而.rdata段一般有RTTI,虚函数表与AFXMSGMAP,所以MSG_MAP数据结构特征相对容易分辨,可以通过编写一个脚本找到。

存在一个GetMessageMap函数,可以获得AFX_MSGMAP。而一般GetMessageMap在编译器自动生成的代码中会被调用,所以我们可以通过查找GetMessageMap调用者来完成对GetMessageMap的定位。

3.1 编写脚本查找

首先我们可以看下上面给出的AFXMSGMAP的定义,它由一个指向GetMessageMap的函数指针以及一个指向AFXMSGMAP_ENTYR的指针组成,而往往该指针指向的位置就是紧邻AFXMSGMAP的下一个结构(也就是AFXMSGMAPENTRY)。

0044E880 AFX_MSGMAP

                    pBaseMessageMap=0041AE27
                    lpEntries=0044E888

0044E888 AFXMSGMAPENTRY1

                    nMessage
                    nCode
                    nID
                    nLastID    
                    nSig
                    pfn

0044E8A0 AFXMSGMAPENTRY2

......

顺便值得一提的是pBaseMessageMap指向的地址是GetMessageMap的地址,其汇编代码如下

.text:0041AE27 sub_41AE27      proc near               ; DATA XREF: .rdata:off_44E880↓o
.text:0041AE27                                         ; .rdata:0044EFDC↓o ...
.text:0041AE27                 mov     eax, offset off_44F120 

.text:0041AE2C                 retn
.text:0041AE2C sub_41AE27      endp

显然GetMessageMap函数是将AFXMSGMAP的地址静态生成,所以也证明了我们可以使用MessageMap函数获取AFXMSGMAP这一点。

那么回到正题,我们可以用这样的判断逻辑来搜索AFX_MSGMAP:

搜索的起始地址从.rdata段的起始地址开始,以4为倍数增加。

起始地址+4保存的DWORD(AFXMSGMAP->lpEntries)等于起始地址+8(第一个AFXMSGMAP_ENTRY)。

根据定义,AFXMSGMAP_ENTYR以全0结束,可以作为判定结束条件。

在此基础上(搜索到结束之前),每个AFXMSGMAP_ENTRY的pfn元素必须是一个有效地址(因为这个pfn指向对应消息的处理函数),不包括全0那个结构。

那么对此我们可以写出idc脚本查找可能的满足条件的AFX_MSGMAP,idc脚本如下:

#include 
static NotEndAddr(pAddr){
 auto i=0;
 for (i=0;i<6;i++){
  if (Dword(i*4+pAddr)!=0)
   return 1;  //not end
 }
 return 0;    //reach the end
}
static isMsgMap(checkAddr,startVa,endVa){
 auto tmp1=Dword(checkAddr);
 auto tmp2=Dword(checkAddr+4);
 auto pAddr=checkAddr+8;
 if (tmp2==checkAddr+8){
  while(NotEndAddr(pAddr)){
   if(Dword(pAddr+20)endVa){
//    Message("Invalid Addr at %0x.\n",pAddr);
    return 0;
   }
   pAddr=pAddr+24;  
  }
  return 1;
 }
 return 0;
}
static main(){
 auto startRdataVa=0x0044E880;   //the start addr of .rdata
 auto size=0x0000DAA8;     //the size of .rdata
 auto startValidVa=0x00400000;   //check the addr is valid or not
 auto endValidVa=0x0046A000;
 auto i=0;
 for(i=0;i  if(isMsgMap(i+startRdataVa,startValidVa,endValidVa)){
   Message("Found Possible MessageMap at %0x.\n",i+startRdataVa);
  }
 }  
 Message("Finish searching.\n");
 return 0;
}

最终尝试使用这个脚本搜索,发现若干可能地址(测试过多个程序,一般生成的可能地址非常少,可以手动过滤):

Found Possible MessageMap at 44e880.Found Possible MessageMap at 44ee88.Found Possible MessageMap at 44f120.Found Possible MessageMap at 44ff10.Found Possible MessageMap at 451410.Finish searching.

那么此时我们就可以一个个查看,依据有:

AFXMSGMAP-->pBaseMessageMap是GetMessageMap(封装函数,非常短,只返回AFXMSGMAP地址);

其中一定有不为0的元素;

其中一定存在你所查找的控件ID(AFXMSGMAPENTRY-->nID),而且是全部ID(在本CrackMe中一定有1002与1005)。

具体也可以根据这三条对脚本进行优化。若将脚本用于不同程序,建议修改startRdataVa,size,startValidVa以及endValidVa四项参数。

3.2 通过查找GetMessageMap来获得

在3.1节中我们已经证明GetMessageMap的确能获得AFXMSGMAP地址,然而找到GetMessageMap的方法是使用AFXMSGMAP,显然这本末倒置了。所以现在我们使用查询GetMessageMap的调用函数,之后逆向追溯的办法。

从网上查询可得[2],OnWndMsg调用了GetMessageMap,OnWndMsg大体逻辑如下:

BOOL CWnd::OnWndMsg(UINT message, WPARAM wParam, LPARAM lParam, LRESULT* pResult)
{
    LRESULT lResult = 0;
    const AFX_MSGMAP* pMessageMap;

     //取得消息映射结构,GetMessageMap为虚函数,所以实际取的是CmainFrame的消息映射
    pMessageMap = GetMessageMap();

    // 查找对应的消息处理函数
    for (pMessageMap != NULL; pMessageMap = pMessageMap->pBaseMap)
        if (message < 0xC000)
            if ((lpEntry = AfxFindMessageEntry(pMessageMap->lpEntries, message, 0, 0)) != NULL)
                goto LDispatch;
    ... ...
LDispatch:
    //通过联合来匹配正确的函数指针类型
    union MessageMapFunctions mmf;
mmf.pfn = lpEntry->pfn;
……

所以为了获取GetMessageMap我们需要先获取Cwnd::OnWndMsg,这个函数在IDA中同样没有被识别,所以我们需要找到它的调用函数。同样,我们在网上找到了类似的实现:

LRESULT CWnd::WindowProc(UINT message, WPARAM wParam, LPARAM lParam)
{
    LRESULT lResult = 0;

    if (!OnWndMsg(message, wParam, lParam, &lResult))

        lResult = DefWindowProc(message, wParam, lParam);

    return lResult;
}

这次我们在IDA中找到了CWnd::WindowProc的识别,HexRay输出大致如下:

int __thiscall CWnd::WindowProc(CWnd *this, unsigned int a2, unsigned int a3, int a4)
{
  CWnd *v4; // esi
  int v6; // [esp+4h] [ebp-4h]

  v6 = 0;
  v4 = this;
  if ( !(*(int (__thiscall **)(CWnd *, unsigned int, unsigned int, int, int *))(*(_DWORD *)this + 276))(
          this,
          a2,
          a3,
          a4,
          &v6) )
    v6 = (*(int (__thiscall **)(CWnd *, unsigned int, unsigned int, int))(*(_DWORD *)v4 + 280))(v4, a2, a3, a4);
  return v6;
}

那么显然第一个if中嵌套的调用就是Cwnd::OnWndMsg,由于没有识别出来,我们需要用OD动态跟踪一下,在该处下断点,之后F9运行,运行结果如下:

8bd35214b9531c1cfa2ac3bc3981d3d1.png

显然得到Cwnd::OnWndMsg的地址是0042259F,IDA查找发现是一个被隐藏的函数unknownlibname93,进入后F5查看HexRay结果。

v5 = this;
  v62 = 0;
  v61 = 0x7FFFFFFF;
  v63 = 0;
  if ( a2 != 273 )
  {
    if ( a2 != 78 )
    {
      v7 = (unsigned int)a4;
      if ( a2 == 6 )
      {
        v8 = CWnd::FromHandle(a4);
        _AfxHandleActivate(v5, (WPARAM)a3, v8);
      }
      if ( a2 == 32 && _AfxHandleSetCursor(v5, (signed __int16)a4, (unsigned int)a4 >> 16) )
        goto LABEL_3;
      v9 = *((_DWORD *)v5 + 19);
      if ( v9
        && *(_DWORD *)(v9 + 116) > 0
        && ((unsigned int)a2 >= 0x200 && (unsigned int)a2 <= 0x209
         || (unsigned int)a2 >= 0x100 && (unsigned int)a2 <= 0x10F
         || (unsigned int)(a2 - 641) <= 0x10)
        && (*(int (__stdcall **)(int, HDC, HWND, int *))(**((_DWORD **)v5 + 19) + 148))(a2, a3, a4, &v62) )
      {
        goto LABEL_117;
      }
      ......

发现函数较大,结构有些混乱,静态分析不好识别,那么用OD进入分析。显然由网上源码逻辑看得出,第一个调用的应该是GetMessageMap,然后OD一步步跟,发现第一个call显然不是:

.text:0042259F ; __unwind { // loc_44C480
.text:0042259F push 70h
.text:004225A1 mov eax, offset loc_44C480
.text:004225A6 call __EH_prolog3
.text:004225AB mov edi, ecx
.text:004225AD xor eax, eax

这个EH_prolog3猜测是编译器加的异常处理,继续跟,下一个call出现在0x4226A1处:

.text:0042269D                 mov     eax, [edi]
.text:0042269F                 mov     ecx, edi
.text:004226A1                 call    dword ptr [eax+28h]
.text:004226A4                 mov     ebx, eax
.text:004226A6                 xor     ebx, [ebp+arg_0]
.text:004226A9                 push    7               ; int

那么此处显然就是我们寻找的GetMessageMap了,那么我们跟入就可以成功找到AFX_MSGMAP结构。

四、结构优化

找到AFX_MSGMAP,获得控件ID之后,我们就可以优化结构使得结构更加易读。

参考网上内容[3],使用结构定义如下:

struct AFX_MSGMAP_ENTRY

  {

   UINT nMessage;

   UINT nCode;

   UINT nID;

   UINT nLastID;

   UINT_PTR nSig;

   void (*pfn)(void);

  };

  struct AFX_MSGMAP

  {

    const AFX_MSGMAP *(__stdcall *pfnGetBaseMap)();

    const AFX_MSGMAP_ENTRY *lpEntries;

  };

首先IDA上方菜单-->View-->Open Subview-->Local types,进入本地结构定义菜单。

右键Insert,在弹出的结构窗口中输入上述结构。

之后翻到最底部,找到上一步定义的两个结构体(一般就是最后两个),选择后右键Synchronize To idb。

最后回到IDA-ViewA窗口,选中需要改变的结构体Alt+Q进行结构变换:

527829f01f7ab1f074b52d2f1eeb6ddc.png

变换前的结构与变换后的结构对比。

842471dea5203ba4af2bb1691018d9a0.png

那么接下来我们根据我们查到的控件ID确认1002与1005(对应hex为0x3EA与0x3ED)的消息处理函数分别为sub401620与sub401840。

五、参考文献

[1] 候俊杰,《深入浅出MFC》,P133

[2] MFC消息映射的原理,https://www.cnblogs.com/lidabo/p/3694726.html

[3] 使用IDA定位基于MFC的CrackMe的按钮函数,https://blog.csdn.net/SilverMagic/article/details/40622413

*本文作者:kdsj,转载请注明来自FreeBuf.COM

b03e2208e39b3f22b1191688e25c0cb2.png

weixin_39710288
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rar文件OllyDBG入门教程的测试品,CrackMe.exe
11-19
仅以此文来描述如何反汇编一个exe程序,这里采用的是静态反汇编,也就是先把整个程序全部反汇编成汇编语言后进行修改,这个例子很简单,首先是我从看雪论坛上下载到的一个CrackMe.exe程序
CSDN_CrackMe_1.0_2021.apk
04-16
CrackMe博客的附件https://blog.csdn.net/m0_38076341/article/details/115767335
MFC消息映射与命令传递机制初探
_Santiago的博客
02-13 1259
本文主要根据侯捷《深入浅出MFC》整理而成,主要讲述MFC消息映射与传递机制。
MFC如何处理自定义消息
jigetage的专栏
01-26 2345
假设自定义消息号是WM_TEST,消息处理函数是OnTest,处理该消息对话框指针是m_pTestDlg,则进行自定义消息处理的步骤主要有以下: 1、定义消息号,建议在stdafx.h进行定义#define WM_TEST WM_USER+1 //! 自定义消息 2、在响应该消息对话框头文件找到DECLARE_MESSAGE_MAP()宏,在该宏定义的前面添加消息处理函数声明afx_ms
MFC添加自定义消息处理函数
一个热爱逆向,喜爱学习、分享的猿。
03-09 4103
MFC添加自定义消息处理函数 在该MFC应用的一个普通函数向该MFC的主窗口发消息
uc-crackme.zip
04-16
uc_crackme相关资源 博客地址 https://blog.csdn.net/u012787710/article/details/130153385
crackme_linux_x64
10-20
网上linux平台的crackme比较少,64位的更少,提供一个简单的linux X64下的crackme可执行程序,供大家入门用(老司机不用下载了)。 非常简单,主要熟悉下IDA和简单汇编基础,如果破不了,具体破解步骤,可以去...
OllyDBG入门教程的测试品,CrackMe.exe
03-07
这个是OllyDB入门教程出现的测试软件,初学者可下载参考学习。CrackMe3.exe
MFC实现三视图
05-17
VS2010环境下用MFC实现三视图的代码
MFC计算机图形学-三维图形几何变换(等测画法)C/c++源码.rar
06-10
(系统会自己调分,我手动重新调成5分啦)2019年写的代码!很新!可用!大学计算机图形学课程作业代码,使用用测图的绘制方法绘制三维几何图形,实现平移、比例、旋转、反射错切等变换。自用,代码完整。打包下载,可直接运行。c/c++语言MFC实现。支持vs
基于VS2010的MFC计算机图形学基本算法实现
06-02
本资源为计算机图形学基本算法的实现,包括直线DDA,点画线,八分法画圆,四分法画椭圆,直线的裁剪,区域填充的扫描线算法,裁剪多边形算法等。基于vs2010MFC,有需要自取
消息映射宏
along
04-15 1084
1.首先看两个成员变量的声明: AFX_MSGMAP messageMap;这是一个AFX_MSGMAP型的静态成员变量,从其型名称和变量名称可以猜出,它是一个包含了消息映射信息的变量。的确,它把消息映射的信息消息映射数组)和相关函数打包在一起,也就是说,得到了一个消息处理的该变量,就得到了它全部的消息映射数据和功能。 AFX_MSGMAP_ENTRY _messa
C++ PASCAL关键字
潜行
07-06 2339
VC里面:PASCAL==CALLBACK==WINAPI==__stdcall        _stdcall是Pascal程序的缺省调用方式,通常用于Win32  Api,函数采用从右到左的压栈方式,自己在退出时清空堆栈。VC将函数编译后会在函数名前面加上下划线前缀,在函数名后加上"@"和参数的字节数。    _cdecl是C和C++程序的缺省调用方式。每一个调用它的函数都包含清空堆
unresolved external symbol "protected: virtual struct AFX_MSGMAP const * __thiscall
on_fighting的专栏
11-23 2727
VC6的MFC基本对话框程序,写了一般在优化是出错了.. 查了好久的资料,才找到的、错误提示如下: --------------------Configuration: McSpider - Win32 Release-------------------- Compiling resources... Compiling... StdAfx.cpp Compiling...
mfc三视图测图实现_VS2015与Psim实现联合仿真调试功能
weixin_39757122的博客
12-03 171
第一步:打开VS2015,新建项目->模板->visual c++ ->MFC ->MDC DLL,然后输入项目的名字为svpwm,如图1所示:图1第二步:点击确定->下一步->这里勾选 使用共享MFC DLL的规则 DLL(R),这里不勾选任何附加功能选项.->然后点击 完成,如图2所示:图2第三步:创建好后,右侧如图3所示,这里VS2015自动给我们创...
小程序 mathjs渲染公式_铁路桥梁BIM程序的设计与实现
weixin_39970689的博客
11-16 163
来源:嘉图BIM如有侵权,请联系删除商业化的设计平台虽好,但自主研发的平台有不可替代的优点商业化平台技术成熟、模型渲染美观,特别是在空间几何计算方面的优势非常突出,但同时也存在一些问题:(1)专业性设计功能完全需要二次开发;(2)不掌握核心代码,无法修改其核心用户界面(UI)以及固有的操作模式,为操作带来不便;(3)纯英文的开发接口程序库,为二次开发带来极大困难。因此,如果仅仅是进行三维仿真建模的...
三视图
tmljs1988的专栏
11-02 1949
<br />三维坐标点投影到二维屏幕上的点时:<br />x1= y- x/<br />y1= -z+ x/<br />要计算在屏幕上的投影值,即相当于下图计算点在YZ上的坐标值,其,X与Y,Z轴夹角均为135度,PP1=z.故可计算二维坐标,要记住屏幕窗口的原点在左上角,X往右递增,Y往下递增.<br /><br />代码如下(计算机图形学实例43(Visual C++版) 孔令德): <br />void CTestView::Transform3DTo2D(const double P3D[7][
OD逆向crackme
最新发布
09-02
在 [安全攻防进阶篇] ,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值