[原创][2013/4/23]xspy v0.3，探测mfc/alt/wtl窗口，开源-资源下载-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 113 粉丝 0 关注私信	jiangjing 1 2013-4-19 12:39 2 楼 0 请问一下[00]vftable address = 是怎么获取的?
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-4-19 13:42 3 楼 0 [QUOTE=jiangjing;1168476]请问一下[00]vftable address = 是怎么获取的?[/QUOTE] 你说的是分析ATL/WTL窗口的结果吧？如果是对话框，通过LONG_PTR winProc = ::GetWindowLongPtr(hWnd, DWLP_DLGPROC); 一般的窗口用LONG_PTR winProc = ::GetWindowLongPtr(hWnd, GWLP_WNDPROC); 得到的地址就是atl里的thunk数据，参考d:\Program Files\Microsoft Visual Studio 9.0\VC\atlmfc\include\atlstdthunk.h中的_stdcallthunk数据结构。主要包含窗口类的this指针和一个窗口回调过程比如分析xspy自身： ----------获取ATL/WTL相关信息------------- DWLP_DLGPROC address: 0x00596188 // 即::GetWindowLongPtr(hWnd, DWLP_DLGPROC);得到的结果 Dialog thunk address = 0x00596188 // thunk地址，即上面的值 class intstance = 0x0043F98C // 窗口类this指针 DialogProc= 0x001A96F0 // 回调函数 [00]vftable address = 0x001BB6BC // this地址头个成员就是虚函数表的指针 [vtbl+00]ProcessWindowMessage = 0x001A6640 // 虚函数表的第一个函数 GWLP_WNDPROC address: 0x75D2BB59 // 即::GetWindowLongPtr(hWnd, GWLP_WNDPROC);得到的结果其中ProcessWindowMessage比较重要，所有消息都会经过这里。 ATL/WTL程序不像MFC程序那样，没有message map结构，因此读到的信息没有MFC多。
chixiaojie 雪币： 2863 活跃值： (1602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1371 粉丝 2 关注私信	chixiaojie 2013-4-19 15:30 4 楼 0 神器自然要收藏了。
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-4-23 11:04 5 楼 0 自己顶。0.2版本发布。 CWnd和CDialog信息暂时只有mfc42和mfc90显示得出来，其他MFC版本因我机子只装了VS2008没法弄，只能显示到CCmdTarget的虚函数那层，如果你想帮忙，请随便创建一个MFC对话框工程，在C++命令行里加入/d1reportAllClassLayout，然后编译，把输出窗口里的那些信息复制发送到lynnux@qq.com，当然请注明vs版本，最好连编译好的MFC程序一起发送过来。
yzwyq 雪币： 291 活跃值： (144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 119 粉丝 1 关注私信	yzwyq 2013-4-24 10:29 6 楼 0 非常不错的工具
marswu 雪币： 400 活跃值： (239) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 63 粉丝 0 关注私信	marswu 4 2013-4-24 21:35 7 楼 0 好东东！！顶一下！！！！！11
kanxue 雪币： 29414 活跃值： (18695) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15214 粉丝 487 关注私信	kanxue 8 2013-5-3 20:49 8 楼 0 有些可惜，为啥不同步更新一份呢？更新，还可以引些人气关注你的Blog.
逸云雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	逸云 2013-8-6 11:49 9 楼 0 很好的工具，感谢提供！
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-9-3 15:51 10 楼 0 顶个，已经开源
iforgiven 雪币： 80 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 2013-9-4 11:58 11 楼 0 好东西，好东西。
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-4-11 11:02 12 楼 0 留名
自学中Ing 雪币： 2103 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 636 粉丝 24 关注私信	自学中Ing 2014-7-10 14:33 13 楼 0 就是咯为啥不同步更新呢？我发布的就一直更新呢
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 328 粉丝 2 关注私信	zylyy 2014-9-22 21:04 14 楼 0 mark
coneco 雪币： 3446 活跃值： (3708) 能力值： ( LV8，RANK：131 ) 在线值：发帖 9 回帖 97 粉丝 50 关注私信	coneco 2 2018-8-29 11:52 15 楼 0 感谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (14)
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 113 粉丝 0 关注私信	jiangjing 1 2013-4-19 12:39 2 楼 0 请问一下[00]vftable address = 是怎么获取的?
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-4-19 13:42 3 楼 0 [QUOTE=jiangjing;1168476]请问一下[00]vftable address = 是怎么获取的?[/QUOTE] 你说的是分析ATL/WTL窗口的结果吧？如果是对话框，通过LONG_PTR winProc = ::GetWindowLongPtr(hWnd, DWLP_DLGPROC); 一般的窗口用LONG_PTR winProc = ::GetWindowLongPtr(hWnd, GWLP_WNDPROC); 得到的地址就是atl里的thunk数据，参考d:\Program Files\Microsoft Visual Studio 9.0\VC\atlmfc\include\atlstdthunk.h中的_stdcallthunk数据结构。主要包含窗口类的this指针和一个窗口回调过程比如分析xspy自身： ----------获取ATL/WTL相关信息------------- DWLP_DLGPROC address: 0x00596188 // 即::GetWindowLongPtr(hWnd, DWLP_DLGPROC);得到的结果 Dialog thunk address = 0x00596188 // thunk地址，即上面的值 class intstance = 0x0043F98C // 窗口类this指针 DialogProc= 0x001A96F0 // 回调函数 [00]vftable address = 0x001BB6BC // this地址头个成员就是虚函数表的指针 [vtbl+00]ProcessWindowMessage = 0x001A6640 // 虚函数表的第一个函数 GWLP_WNDPROC address: 0x75D2BB59 // 即::GetWindowLongPtr(hWnd, GWLP_WNDPROC);得到的结果其中ProcessWindowMessage比较重要，所有消息都会经过这里。 ATL/WTL程序不像MFC程序那样，没有message map结构，因此读到的信息没有MFC多。
chixiaojie 雪币： 2863 活跃值： (1602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1371 粉丝 2 关注私信	chixiaojie 2013-4-19 15:30 4 楼 0 神器自然要收藏了。
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-4-23 11:04 5 楼 0 自己顶。0.2版本发布。 CWnd和CDialog信息暂时只有mfc42和mfc90显示得出来，其他MFC版本因我机子只装了VS2008没法弄，只能显示到CCmdTarget的虚函数那层，如果你想帮忙，请随便创建一个MFC对话框工程，在C++命令行里加入/d1reportAllClassLayout，然后编译，把输出窗口里的那些信息复制发送到lynnux@qq.com，当然请注明vs版本，最好连编译好的MFC程序一起发送过来。
yzwyq 雪币： 291 活跃值： (144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 119 粉丝 1 关注私信	yzwyq 2013-4-24 10:29 6 楼 0 非常不错的工具
marswu 雪币： 400 活跃值： (239) 能力值： ( LV9，RANK：170 ) 在线值：发帖 8 回帖 63 粉丝 0 关注私信	marswu 4 2013-4-24 21:35 7 楼 0 好东东！！顶一下！！！！！11
kanxue 雪币： 29414 活跃值： (18695) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15214 粉丝 487 关注私信	kanxue 8 2013-5-3 20:49 8 楼 0 有些可惜，为啥不同步更新一份呢？更新，还可以引些人气关注你的Blog.
逸云雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	逸云 2013-8-6 11:49 9 楼 0 很好的工具，感谢提供！
lynnux 雪币： 3178 活跃值： (1486) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-9-3 15:51 10 楼 0 顶个，已经开源
iforgiven 雪币： 80 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 2013-9-4 11:58 11 楼 0 好东西，好东西。
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-4-11 11:02 12 楼 0 留名
自学中Ing 雪币： 2103 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 636 粉丝 24 关注私信	自学中Ing 2014-7-10 14:33 13 楼 0 就是咯为啥不同步更新呢？我发布的就一直更新呢
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 328 粉丝 2 关注私信	zylyy 2014-9-22 21:04 14 楼 0 mark
coneco 雪币： 3446 活跃值： (3708) 能力值： ( LV8，RANK：131 ) 在线值：发帖 9 回帖 97 粉丝 50 关注私信	coneco 2 2018-8-29 11:52 15 楼 0 感谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复