首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]FindWindow跟如最后调用的什么函数
发表于: 2016-4-8 17:08 3973

[求助]FindWindow跟如最后调用的什么函数

火勺 活跃值
2016-4-8 17:08
3973
FindWindowWOD跟下发现最后调用的是这个函数
76C3FF70 . FF75 18 push dword ptr ss:[ebp+0x18]
76C3FF73 . FF75 E8 push dword ptr ss:[ebp-0x18]
76C3FF76 . FF75 F8 push dword ptr ss:[ebp-0x8]
76C3FF79 . FF75 0C push dword ptr ss:[ebp+0xC]
76C3FF7C . FF75 08 push dword ptr ss:[ebp+0x8]
76C3FF7F . E8 5968FFFF call user32.76C367DD


堆栈
0018F504 00000000
0018F508 00000000
0018F50C 0018F534
0018F510 0018F524
0018F514 00000000


0018F534 0018F524指向的是相同结构
0018F534 08 00 0A 00 B0 FF EB 00 34 F5 18 00 01 00 00 .ᄚë.



B0 FF EB 00 存放着类名 或者 标题
00EBFFB0 47 00 61 00 6D 00 65 00 00 00 30 00 34 00 00 00 Game.04.


最后进入系统
76C367DD /$ B8 6E100000 mov eax,0x106E
76C367E2 |. B9 00000000 mov ecx,0x0
76C367E7 |. 8D5424 04 lea edx,dword ptr ss:[esp+0x4]
76C367EB |. 64:FF15 C0000>call dword ptr fs:[0xC0]
76C367F2 |. 83C4 04 add esp,0x4
76C367F5 \. C2 1400 retn 0x14



这是个什么函数,参数结构是什么

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
kman
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
NtUserFindWindowEx,用啥OD,整个IDA或者windbg配上符号比啥不强
2016-4-9 10:12
0
火勺
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
不懂什么是符号,咋与ida配对
2016-4-9 20:11
0
轩辕之风
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
4
符号都不知道,真是浪费了MJ大神的表情
2016-4-9 20:30
0
火勺
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我用IDA就会F5,找找导入表函数的引用代码。其他的都不会。
2016-4-9 20:50
0
VCKFC
雪    币: 9941
活跃值: (2143)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
注意看 call dword ptr fs:[0xC0]

前面的 mov eax,0x106E 就是一个序号
然后你看一下 ssdt ,ssdt shadow 的调用表就明白了
后面的事件就是内核了

R3 跟到call dword ptr fs:[0xC0] 就到头了
再要跟就要有 windbg了
2016-4-9 23:54
0
OXFFFFFFFE
雪    币: 18
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
求科普一下VT+MSR稳定性如何, 稳定性主要受哪些因素影响, 以及主要有哪些技术难点?
2016-4-12 17:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//