OD调试MFC程序按钮事件的捕捉

最新推荐文章于 2021-08-31 11:20:55 发布
最新推荐文章于 2021-08-31 11:20:55 发布
阅读量1.7w 收藏 14
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 调试逆向 文章标签: mfc user c button 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccnyou/article/details/7642776

经常在调试程序中需要捕捉某一按钮事件,分析按钮对应的代码(如“登陆”,“注册”等)

近来无事,自己写个程序来看看MFC的消息分发流程,然后总结地写了这文章:

 

示例程序MfcTest,下载链接:http://download.csdn.net/detail/ccnyou/4358961

编译环境VC6+WinXP


使用工具:OD(OllyDbg)


程序截图

对应按钮代码:

void CMfcTestDlg::OnButton1() 
{
	// TODO: Add your control notification handler code here
	MessageBoxA("OnButton1","",0);
}

首先,载入OD,F9完成程序初始化

OD命令:bp TranslateMessage MSG==WM_LBUTTONUP

 

然后单击

暂停在:

77D18BF6 >  8BFF            MOV EDI,EDI

此时栈窗口如下:

0012FD8C   77D274F9  /CALL 到 TranslateMessage 来自 USER32.77D274F4
0012FD90   0040306C  \pMsg = WM_LBUTTONUP hw = 2403D4 ("Button1") Keys = 0 X = 63. Y = 9.
0012FD94   0040306C  MfcTest.0040306C
0012FD98   00403074  MfcTest.00403074
0012FD9C   0040306C  MfcTest.0040306C

按Ctrl+F9执行到返回,回到USER32领空,看到

77D274F4    E8 FD16FFFF     CALL USER32.TranslateMessage
77D274F9    56              PUSH ESI                                 ; MfcTest.0040306C
77D274FA    E8 0215FFFF     CALL USER32.DispatchMessageW
77D274FF    5B              POP EBX

按F7,进入DispatchMessageW

此时按下Alt+M,打开Memory map窗口,在.text按F2下断,F9运行,离开主程序领空后,立刻又在.text按F2下断,F9运行,发现程序依次调用

00401502   .- FF25 30204000 JMP DWORD PTR DS:[<&MFC42.#5300_?Process>;  MFC42.#5300_?ProcessMessageFilter@CWinThread@@UAEHHPAUtagMSG@@@Z
004014FC   .- FF25 2C204000 JMP DWORD PTR DS:[<&MFC42.#3346_?GetMain>;  MFC42.#3346_?GetMainWnd@CWinThread@@UAEPAVCWnd@@XZ
…

最后一个调用的是

00401670   .- FF25 24214000 JMP DWORD PTR DS:[<&MFC42.#4425_?OnCmdMs>;  MFC42.#4425_?OnCmdMsg@CDialog@@UAEHIHPAXPAUAFX_CMDHANDLERINFO@@@Z

在此下断,F8离开主领空,.text按F2下断,F9运行,立刻来到关键代码处

00401470   .  6A 00         PUSH 0
00401472   .  68 FC304000   PUSH MfcTest.004030FC
00401477   .  68 20304000   PUSH MfcTest.00403020                    ;  ASCII "OnButton1"
0040147C   .  E8 37020000   CALL <JMP.&MFC42.#4224_?MessageBoxA@CWnd>
00401481   .  C3            RETN

好的,拿到地址,可以直接IDA分析了^_^






博客文章【OD调试MFC程序按钮事件捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
OD按钮单击事件下断点脚本.rar
01-13
OD按钮单击事件下断点脚本.rar
按钮事件
10-24 468
Delphi & BC++ 使用Detect it Easy工具确定软件使用的编译器为Delphi或者是BC++,这两个编译器的按钮特征码相同。OD载入程序,反汇编窗口右键->查找->二进制字符串:然后在HEX窗口输入特征码,注意Delphi和BC++的特征码是相同的(“740E8BD38B83????????FF93????????”):注意勾选整个块。特征码中的...
experiment : 用OD下消息断点, 捕获按钮操作.
热门推荐
谢绝(无视)留言与私信
07-07 1万+
实验目的  : 想直接拦截按钮操作的消息处理, 分析按钮操作的逻辑. 实验程序 : > 中附带的一个CrackMe.   使用OD加载目标程序, 当程序运行起来后, 填入Name和Sn, 暂停OD 我们希望捕获[OK]按钮的消息处理. 按钮消息属于WM_COMMAND, 按照消息名称排序, 好找一些. 下完消息断电后, 确认一下是否消息断点已下.
OD按钮单击事件下断点脚本
friendan的专栏
01-13 1万+
/////////////////////////////////////////////////////////////////////////// /////// ////////// /////// OD按钮单击事件下断点脚本V1 ////////// /////// ////////// /////// ///////// /////// 2016/01/11 by frien
OD调试技巧:如何捕捉MFC程序中的按钮事件
在探讨OD调试MFC程序按钮事件捕捉之前,首先需要对OD调试MFC程序以及如何捕捉按钮事件有一个全面的理解。OD通常指的是OllyDbg,这是一个先进的Windows平台下的32位汇编语言调试器,特别适用于破解和恶意软件分析...
vc++ 应用源码包_1
09-15
MFC应用程序中浏览PDF、Word文档文件 vcdialog 自绘对话框。 vc编程:自动停靠窗体,吸附窗体 OnMoving事件处理。 vc基于HTTP协议断点续传和多线程下载源代码 VC满屏开满玫瑰花 VC然输入框出现气球提示 调用...
vc++ 应用源码包_2
09-15
MFC应用程序中浏览PDF、Word文档文件 vcdialog 自绘对话框。 vc编程:自动停靠窗体,吸附窗体 OnMoving事件处理。 vc基于HTTP协议断点续传和多线程下载源代码 VC满屏开满玫瑰花 VC然输入框出现气球提示 调用...
vc++ 应用源码包_6
09-15
独立打包,保证可解压,内含大量源码,网上搜集...在MFC应用程序中浏览PDF、Word文档文件 vcdialog 自绘对话框。 vc编程:自动停靠窗体,吸附窗体 OnMoving事件处理。 vc基于HTTP协议断点续传和多线程下载源代码 VC...
通过分析调用堆栈定位MFC按钮事件
goat_2003的博客
08-31 806
1,逆向分析这个东西的前提是你得懂这个东西,例如,就像逆飞机一样,你连飞机是什么都不知道,当然你也就逆不出来,逆之前, 你得自己会造飞机,只是你没有别人造的好。分析过程中,不需要弄懂每个细节,只需关注重点部分和整体流程。学会根据经验猜测。 2,原理: 我们新建的MFC程序,界面上就放2个按钮事件处理函数随便写。然后我们在按钮那里设置断点。 程序运行起来后,我们点击button1,程序就断下来了,然后我们就查看它的调用堆栈,谁调用了这个按钮处理函数,找到事件分发函数。 _AfxDispatchCmdMs
MFC 动态添加按钮&响应事件
09-18
如题 在MFC中动态添加按钮(这不难) 主要是要响应按钮事件
OD 有关VC++的MFC
zhangmiaoping23的专栏
06-24 2278
00401649 E8 F4120000 call 0040164E 8D4C24 2C lea ecx,dword ptr ss:[esp+2C] 00401652 C68424 F004000>mov byte ptr ss:[esp+4F0],1 0040165A E8 E3120000 call 0040165F 8D4C24 28 lea ecx,dword ptr ss:[
发一篇关于MFC查找按钮事件(映射消息)的文章,初级
RyoChan的博客
10-09 2482
本文的知识点完全出自一本名叫《深入浅出MFC》的书。当然同样的知识点,网上也有很多其他版本 不过这些并非以找按钮事件为目的,他们都是以知识点介绍为主 那你要说我这是炒冷饭,那我就不高兴了,这应该叫做“换一个角度看问题” 关于文章的定位问题: 本来这篇文章是写得比较复杂的,涉及MFC的知识,但我觉得这样不好,就改啊改,把文章改成定位为初级的 不过读者还是必须掌握C+
[学习笔记]通过各语言特征码寻找按钮事件
weixin_30312563的博客
04-03 914
今天的课件都无壳。 一 Delphi和BC++ DIE检测一下,是Delphi OD载入 反汇编窗口右键---查找---二进制字符串 查看一下特征码 复制Delphi的特征码,粘贴进刚才打开的查找二进制的窗口 点击确定返回反汇编窗口。查看一下找到的第一个特征码 一般情况下,找到特征码对应的会是一个跳转,而跳转下面如果有一个CALL就说明是我们要找的,F...
OD调试调试Delphi程序按钮事件断点方法
weixin_34344677的博客
03-23 823
这几天我调试一个Delphi程序,总是无法断点按钮事件,像我这样的菜鸟断点按钮事件真心累啊。所以我分享一下我下断点的经验!希望新手们少走弯路!!   工具/原料   OD调试器 Delphi程序 方法/步骤     先用PEID查壳看看,发现是Delphi的程序,无壳(其实壳已经被我脱了)   这里需要用到一个断点按钮事件插件 将一下...
OllyDBG找到按钮的处理函数
千城
12-10 5738
<br /><br />http://hi.baidu.com/tuuboo/blog/item/2c466b8814c284b50e244442.html<br />首先<br />1 od 下运行程序,F12 暂停;<br />2 View菜单中选击Windows项,在打开的窗口中可以从Title栏看到目标按钮,从而找到它的Handle(xxxxxxxx) ;<br />对不同平台生成的程序,分别处理:<br />一、VB, Delphi, CBuilder 程序:<br />3 在CallWindow
od常用断点大全
樱*夜精灵
05-22 1046
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndir
MFC中快速定位按钮事件的新方式
goat_2003的博客
08-31 999
我在上一篇文章《 如何在MFC中定位按钮事件 》采用了寻找虚函数表的方法来寻找按钮事件,但是用不同版本的VS编译器编译出来的MFC程序,在进入afxWinMain入口前做了非常多的工作,而且在不同版本中所做的内容是不尽相同的。下图左边是vs6.0的MFC的调用堆栈,右边是vs2010的MFC的调用堆栈。 在MFC程序中,有且仅有一个继承自CWinApp的类,而且这个类是全局的,只有一个,程序运行的时候已经初始化了。 1,原理: 继承自CWinApp的类和窗口的类在内存中有 static const A
MFC程序逆向 – 消息篇(上)+(下)
二进制天堂
08-27 2940
费尔托斯特:单用户终生版,费尔软件 杀毒软件 65.0元    标 题: 【原创】MFC程序逆向 – 消息篇(上)+(下) 11楼作 者: szdbg时 间: 2007-10-31,06:26链 接: http://bbs.pediy.com/showthread.php?t=54150前言:记得前一段时间,我刚接触软件破解和逆向这
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值