[原创][2013/4/23]xspy v0.3，探测mfc/alt/wtl窗口，开源-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 2 楼请问一下[00]vftable address = 是怎么获取的? 2013-4-19 12:39 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 3 楼 [QUOTE=jiangjing;1168476]请问一下[00]vftable address = 是怎么获取的?[/QUOTE] 你说的是分析ATL/WTL窗口的结果吧？如果是对话框，通过LONG_PTR winProc = ::GetWindowLongPtr(hWnd, DWLP_DLGPROC); 一般的窗口用LONG_PTR winProc = ::GetWindowLongPtr(hWnd, GWLP_WNDPROC); 得到的地址就是atl里的thunk数据，参考d:\Program Files\Microsoft Visual Studio 9.0\VC\atlmfc\include\atlstdthunk.h中的_stdcallthunk数据结构。主要包含窗口类的this指针和一个窗口回调过程比如分析xspy自身： ----------获取ATL/WTL相关信息------------- DWLP_DLGPROC address: 0x00596188 // 即::GetWindowLongPtr(hWnd, DWLP_DLGPROC);得到的结果 Dialog thunk address = 0x00596188 // thunk地址，即上面的值 class intstance = 0x0043F98C // 窗口类this指针 DialogProc= 0x001A96F0 // 回调函数 [00]vftable address = 0x001BB6BC // this地址头个成员就是虚函数表的指针 [vtbl+00]ProcessWindowMessage = 0x001A6640 // 虚函数表的第一个函数 GWLP_WNDPROC address: 0x75D2BB59 // 即::GetWindowLongPtr(hWnd, GWLP_WNDPROC);得到的结果其中ProcessWindowMessage比较重要，所有消息都会经过这里。 ATL/WTL程序不像MFC程序那样，没有message map结构，因此读到的信息没有MFC多。 2013-4-19 13:42 0
chixiaojie 雪币： 3277 活跃值： (1992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 4 楼神器自然要收藏了。 2013-4-19 15:30 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 5 楼自己顶。0.2版本发布。 CWnd和CDialog信息暂时只有mfc42和mfc90显示得出来，其他MFC版本因我机子只装了VS2008没法弄，只能显示到CCmdTarget的虚函数那层，如果你想帮忙，请随便创建一个MFC对话框工程，在C++命令行里加入/d1reportAllClassLayout，然后编译，把输出窗口里的那些信息复制发送到lynnux@qq.com，当然请注明vs版本，最好连编译好的MFC程序一起发送过来。 2013-4-23 11:04 0
yzwyq 雪币： 291 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 119 粉丝 1 关注私信	yzwyq 6 楼非常不错的工具 2013-4-24 10:29 0
marswu 雪币： 400 活跃值： (239) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 63 粉丝 1 关注私信	marswu 4 7 楼好东东！！顶一下！！！！！11 2013-4-24 21:35 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 8 楼有些可惜，为啥不同步更新一份呢？更新，还可以引些人气关注你的Blog. 2013-5-3 20:49 0
逸云雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	逸云 9 楼很好的工具，感谢提供！ 2013-8-6 11:49 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 10 楼顶个，已经开源 2013-9-3 15:51 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 11 楼好东西，好东西。 2013-9-4 11:58 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 12 楼留名 2014-4-11 11:02 0
自学中Ing 雪币： 2103 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 68 回帖 636 粉丝 24 关注私信	自学中Ing 13 楼就是咯为啥不同步更新呢？我发布的就一直更新呢 2014-7-10 14:33 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 14 楼 mark 2014-9-22 21:04 0
coneco 雪币： 4922 活跃值： (4622) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 73 关注私信	coneco 3 15 楼感谢！ 2018-8-29 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 2 楼请问一下[00]vftable address = 是怎么获取的? 2013-4-19 12:39 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 3 楼 [QUOTE=jiangjing;1168476]请问一下[00]vftable address = 是怎么获取的?[/QUOTE] 你说的是分析ATL/WTL窗口的结果吧？如果是对话框，通过LONG_PTR winProc = ::GetWindowLongPtr(hWnd, DWLP_DLGPROC); 一般的窗口用LONG_PTR winProc = ::GetWindowLongPtr(hWnd, GWLP_WNDPROC); 得到的地址就是atl里的thunk数据，参考d:\Program Files\Microsoft Visual Studio 9.0\VC\atlmfc\include\atlstdthunk.h中的_stdcallthunk数据结构。主要包含窗口类的this指针和一个窗口回调过程比如分析xspy自身： ----------获取ATL/WTL相关信息------------- DWLP_DLGPROC address: 0x00596188 // 即::GetWindowLongPtr(hWnd, DWLP_DLGPROC);得到的结果 Dialog thunk address = 0x00596188 // thunk地址，即上面的值 class intstance = 0x0043F98C // 窗口类this指针 DialogProc= 0x001A96F0 // 回调函数 [00]vftable address = 0x001BB6BC // this地址头个成员就是虚函数表的指针 [vtbl+00]ProcessWindowMessage = 0x001A6640 // 虚函数表的第一个函数 GWLP_WNDPROC address: 0x75D2BB59 // 即::GetWindowLongPtr(hWnd, GWLP_WNDPROC);得到的结果其中ProcessWindowMessage比较重要，所有消息都会经过这里。 ATL/WTL程序不像MFC程序那样，没有message map结构，因此读到的信息没有MFC多。 2013-4-19 13:42 0
chixiaojie 雪币： 3277 活跃值： (1992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 4 楼神器自然要收藏了。 2013-4-19 15:30 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 5 楼自己顶。0.2版本发布。 CWnd和CDialog信息暂时只有mfc42和mfc90显示得出来，其他MFC版本因我机子只装了VS2008没法弄，只能显示到CCmdTarget的虚函数那层，如果你想帮忙，请随便创建一个MFC对话框工程，在C++命令行里加入/d1reportAllClassLayout，然后编译，把输出窗口里的那些信息复制发送到lynnux@qq.com，当然请注明vs版本，最好连编译好的MFC程序一起发送过来。 2013-4-23 11:04 0
yzwyq 雪币： 291 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 119 粉丝 1 关注私信	yzwyq 6 楼非常不错的工具 2013-4-24 10:29 0
marswu 雪币： 400 活跃值： (239) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 63 粉丝 1 关注私信	marswu 4 7 楼好东东！！顶一下！！！！！11 2013-4-24 21:35 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 8 楼有些可惜，为啥不同步更新一份呢？更新，还可以引些人气关注你的Blog. 2013-5-3 20:49 0
逸云雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	逸云 9 楼很好的工具，感谢提供！ 2013-8-6 11:49 0
lynnux 雪币： 3532 活跃值： (1862) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 16 关注私信	lynnux 10 楼顶个，已经开源 2013-9-3 15:51 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 11 楼好东西，好东西。 2013-9-4 11:58 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 12 楼留名 2014-4-11 11:02 0
自学中Ing 雪币： 2103 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 68 回帖 636 粉丝 24 关注私信	自学中Ing 13 楼就是咯为啥不同步更新呢？我发布的就一直更新呢 2014-7-10 14:33 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 14 楼 mark 2014-9-22 21:04 0
coneco 雪币： 4922 活跃值： (4622) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 73 关注私信	coneco 3 15 楼感谢！ 2018-8-29 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复