[原创]通过分析调用堆栈定位MFC按钮事件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]通过分析调用堆栈定位MFC按钮事件

发表于: 2019-1-25 21:34 7865

[原创]通过分析调用堆栈定位MFC按钮事件

毕达哥拉斯

2019-1-25 21:34

7865

1，逆向分析这个东西的前提是你得懂这个东西，例如，就像逆飞机一样，你连飞机是什么都不知道，当然你也就逆不出来，逆之前，你得自己会造飞机，只是你没有别人造的好。分析过程中，不需要弄懂每个细节，只需关注重点部分和整体流程。学会根据经验猜测。

2，原理：

我们新建的MFC程序，界面上就放2个按钮，事件处理函数随便写。然后我们在按钮那里设置断点。

程序运行起来后，我们点击button1，程序就断下来了，然后我们就查看它的调用堆栈，谁调用了这个按钮处理函数，找到事件分发函数。

_AfxDispatchCmdMsg就是分发函数。

双击 _AfxDispatchCmdMsg 进入到如下函数，这个就是处理过程。然后我们分析这个函数的参数，有点不太一样它有7个参数，可以作为一个特征。

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg}, unsigned int 1000, int 0, void (void)* 0x00401014 CSssDlg::OnButton1(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg}, unsigned int 1000, int 0, void (void)* 0x00401014 CSssDlg::OnButton1(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

调用堆栈已经显示了调用这个函数时的所有参数：比如nID=1000，我们需要大胆猜测这个东西是什么，nID有可能是按钮的编号。拿着这个疑问我们来试第二个按钮：

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg hWnd=0x001d1e92}, unsigned int 1001, int 0, void (void)* 0x0040107d CSssDlg::OnButton2(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

nID变成了1001，哈哈猜对了，nID基本就是窗口编号。

_AfxDispatchCmdMsg(CCmdTarget * 0x0018fe50 {CSssDlg hWnd=0x001d1e92}, unsigned int 1001, int 0, void (void)* 0x0040107d CSssDlg::OnButton2(void), void * 0x00000000, unsigned int 12, AFX_CMDHANDLERINFO * 0x00000000) line 88

nID变成了1001，哈哈猜对了，nID基本就是窗口编号。

我们注意到倒数第3个参数是传递的是按钮事件函数的地址。

_AfxDispatchCmdMsg函数的特征是什么呢，特征码的选取是随机的，爱取什么就取什么，只要满足它能代表这个函数的唯一想就可以了。

3 OD分析

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2019-1-25 23:58 被毕达哥拉斯编辑，原因：上次未写完，现在进行补充

收藏・24

免费・5

支持

打赏 + 4.00雪花

kanxue

junkboy

打赏次数 2

雪花 + 4.00

kanxue	+2.00	2019/02/02	春节快乐
junkboy	+2.00	2019/01/26

最新回复 (22)
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 2 楼感谢分享~ 2019-1-25 22:36 0
chinasmu 雪币： 6258 活跃值： (3320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 3 楼结束了？ 2019-1-25 22:50 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 4 楼 chinasmu 结束了？还没写完呢，明天继续补上 2019-1-25 22:51 0
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 348 粉丝 2 关注私信	junkboy 5 楼支持 2019-1-26 08:20 0
Editor 雪币： 26398 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1689 回帖 4390 粉丝 1764 关注私信	Editor 6 楼支持！坐等楼主更新 2019-1-26 11:07 1
五天雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 125 粉丝 0 关注私信	五天 7 楼手动点赞 2019-1-26 17:14 0
wanttobeno 雪币： 5573 活跃值： (2153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 201 粉丝 3 关注私信	wanttobeno 8 楼感谢分享！ 2019-1-26 17:38 0
gaoan 雪币： 3797 活跃值： (769) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	gaoan 9 楼头次接触MFC,被绕晕了 2019-1-29 07:59 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 10 楼 gaoan 头次接触MFC,被绕晕了接触MFC之前，最好先接触Win32程序 2019-1-29 09:58 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 11 楼谢谢分享， 2019-1-29 11:28 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 12 楼这跟直接用VS调试有啥区别 2019-1-29 12:37 0
Besttwuya 雪币： 198 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	Besttwuya 13 楼写的不错 2019-1-30 05:44 0
严启真雪币： 9072 活跃值： (1615) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 212 粉丝 2 关注私信	严启真 14 楼不错，分析清楚，感谢分享。我就喜欢特征码一步到位… 2019-1-31 09:25 0
speedboy 雪币： 8826 活跃值： (3063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 15 楼好文章 2019-2-2 18:48 0
coneco 雪币： 4922 活跃值： (4622) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 74 关注私信	coneco 3 16 楼思路简洁清晰，谢谢分享 2019-2-4 10:10 0
unfixedBug 雪币： 131 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	unfixedBug 17 楼思路非常清晰，这样有质量的帖子不多。楼主要准备写个通杀的程序吗？ 2019-2-9 00:42 0
罗小墨雪币： 279 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	罗小墨 18 楼很好，终于学会找mfc的按钮事件了 2019-2-10 15:32 0
罗小墨雪币： 279 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	罗小墨 19 楼不同电脑这个编码值是不一样的 2019-2-10 16:14 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 20 楼罗小墨不同电脑这个编码值是不一样的讲得是思路，你可以去找不同版本的相同的特征码。更好的寻找mfc按钮事件，参照我的另外2篇文章 2019-2-10 16:41 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 21 楼毕达哥拉斯讲得是思路，你可以去找不同版本的相同的特征码。更好的寻找mfc按钮事件，参照我的另外2篇文章不同版本怎么找 2019-2-11 08:44 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 22 楼 killpy 不同版本怎么找大佬就别笑话我了 2019-2-12 10:17 0
宇智波广坤雪币： 1199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	宇智波广坤 23 楼我们注意到倒数第3个参数是传递的是按钮事件函数的地址。 pfn是倒数第四个参数吧？ 2019-7-5 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

毕达哥拉斯

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 2 楼感谢分享~ 2019-1-25 22:36 0
chinasmu 雪币： 6258 活跃值： (3320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 202 粉丝 2 关注私信	chinasmu 3 楼结束了？ 2019-1-25 22:50 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 4 楼 chinasmu 结束了？还没写完呢，明天继续补上 2019-1-25 22:51 0
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 348 粉丝 2 关注私信	junkboy 5 楼支持 2019-1-26 08:20 0
Editor 雪币： 26398 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1689 回帖 4390 粉丝 1764 关注私信	Editor 6 楼支持！坐等楼主更新 2019-1-26 11:07 1
五天雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 125 粉丝 0 关注私信	五天 7 楼手动点赞 2019-1-26 17:14 0
wanttobeno 雪币： 5573 活跃值： (2153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 201 粉丝 3 关注私信	wanttobeno 8 楼感谢分享！ 2019-1-26 17:38 0
gaoan 雪币： 3797 活跃值： (769) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	gaoan 9 楼头次接触MFC,被绕晕了 2019-1-29 07:59 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 10 楼 gaoan 头次接触MFC,被绕晕了接触MFC之前，最好先接触Win32程序 2019-1-29 09:58 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 11 楼谢谢分享， 2019-1-29 11:28 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 12 楼这跟直接用VS调试有啥区别 2019-1-29 12:37 0
Besttwuya 雪币： 198 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	Besttwuya 13 楼写的不错 2019-1-30 05:44 0
严启真雪币： 9072 活跃值： (1615) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 212 粉丝 2 关注私信	严启真 14 楼不错，分析清楚，感谢分享。我就喜欢特征码一步到位… 2019-1-31 09:25 0
speedboy 雪币： 8826 活跃值： (3063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 15 楼好文章 2019-2-2 18:48 0
coneco 雪币： 4922 活跃值： (4622) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 74 关注私信	coneco 3 16 楼思路简洁清晰，谢谢分享 2019-2-4 10:10 0
unfixedBug 雪币： 131 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	unfixedBug 17 楼思路非常清晰，这样有质量的帖子不多。楼主要准备写个通杀的程序吗？ 2019-2-9 00:42 0
罗小墨雪币： 279 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	罗小墨 18 楼很好，终于学会找mfc的按钮事件了 2019-2-10 15:32 0
罗小墨雪币： 279 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	罗小墨 19 楼不同电脑这个编码值是不一样的 2019-2-10 16:14 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 20 楼罗小墨不同电脑这个编码值是不一样的讲得是思路，你可以去找不同版本的相同的特征码。更好的寻找mfc按钮事件，参照我的另外2篇文章 2019-2-10 16:41 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 21 楼毕达哥拉斯讲得是思路，你可以去找不同版本的相同的特征码。更好的寻找mfc按钮事件，参照我的另外2篇文章不同版本怎么找 2019-2-11 08:44 0
毕达哥拉斯雪币： 1808 活跃值： (578) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 25 粉丝 12 关注私信	毕达哥拉斯 1 22 楼 killpy 不同版本怎么找大佬就别笑话我了 2019-2-12 10:17 0
宇智波广坤雪币： 1199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	宇智波广坤 23 楼我们注意到倒数第3个参数是传递的是按钮事件函数的地址。 pfn是倒数第四个参数吧？ 2019-7-5 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复