本文介绍了在逆向工程中遇到的Windows事件Hook技术,讲解了如何通过Hook处理所有消息来实现反调试。分析了GetWindowLongA获取窗口风格和扩展风格的用途,并探讨了通过CreateThread调用者寻找main函数的方法。此外,还提到了通过System("pause")的交叉引用定位main函数,以及如何处理栈指针错误。最后,讨论了动态调试时处理数组和提取flag的技巧。
打开以后只有start函数,找不到main函数
但是看得到一个StartAddress
根据经验可以知道这个命名通常是指CreateThread的入口函数
进去看可以发现它设置了一个事件Hook
SetWinEventHook(1u, 0x7FFFFFFFu, 0, pfnWinEventProc, 0, 0, 2u);
查了一下手册,前两个参数表示Hook的消息ID范围,从1~0x7fffffff也就意味着这个pfnWinEventProc会处理所有消息,基本上也就等同于瞬间的死循环了
通常这种线程会作为反调试,来保证进程全程无被附加
调用了两个GetWindowLongA,不知道是干啥的,去查一下
-16 GWL_STYLE 得到窗口风格
-20 GWL_EXSTYLE 得到扩展的窗口风格
进一步加反调试加入关键字
找到了如下示例代码
LONG mStyle = GetWindowLongA(hwnd,GWL_STYLE);
LONG ExtStyle=GetWindowLongA(hwnd,GWL_EXSTYLE);
if(mStyle==0x57c70000&&ExtStyle==0x140)
{
printf("find od 1 
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
