[求助]怎样才能找到MFC消息处理函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 2 楼 MSDN 不二之选 2006-5-6 22:44 0
austiny 雪币： 235 活跃值： (100) 能力值： ( LV9，RANK：210 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	austiny 5 3 楼最初由 cypunkeree* 发布* 由于控件为IDOK = 1 搜索 11 01 00 00 01 只能找到 ........ MFC的消息映射表在内存中是分项存储的，如： 00411860 00000111 ; 消息号，111代表 WM_COMMAND 00411864 00000000 00411868 000003E8 ; 控件ID 0041186C 000003E8 ; 控件ID 00411870 0000000C ; 标志位 00411874 00402C00 digi.00402C00 ; 处理函数从你的情况来看，是否应该搜索 11 01 00 00 00 00 00 00 01 呢？ 2006-5-7 11:14 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=22275&highlight=MFC 没仔细研究过,但是勉强够用了 2006-5-7 11:26 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 5 楼太感谢这位大哥了找到了 0046EE50 11 01 00 00 00 00 00 00 01 00 00 00 01 00 00 00 0046EE60 35 00 00 00 A9 34 40 00 004034A9 . /E9 82CA0000 jmp 0040FF30 0040FF30 > \8B01 mov eax, [ecx] 0040FF32 . FFA0 54010000 jmp [eax+154] 不过我测试了一下，明显找错了地方最初由 ViperDodge* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=22275&highlight=MFC 没仔细研究过,但是勉强够用了找不到啊，非常感谢，可能我的是MFC71的原因吧 2006-5-7 11:33 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 6 楼 MFC真是太难了 2006-5-8 09:40 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 7 楼如果它是动态编译工程的，要到MFC42.dll中搜索要是静态编译的话，就在程序本模块中搜索 PUSH DWORD PTR [EAX+14] PUSH DWORD PTR [EBP+C] PUSH DWORD PTR [EBP+8] PUSH EDI 比如附件中的，Dynamictest.exe要在MFC42.DLL中搜索而Statictest.exe在程序模块中搜索就行了 PUSH DWORD PTR [EAX+14] 的值会显示函数执行地址 MFC7.1的好象也可以用此方法，但是要确定该程序必须是用了MFC库！上传的附件： release.rar （92.02kb，10次下载） 2006-5-8 09:51 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 8 楼最初由 ViperDodge* 发布* 如果它是动态编译工程的，要到MFC42.dll中搜索要是静态编译的话，就在程序本模块中搜索 PUSH DWORD PTR [EAX+14] PUSH DWORD PTR [EBP+C] ........ 的确无法找到，问题是用OD调试不了，ICE不想装看来MFC71太牛了，现在已出到 MFC8了呜呜 2006-5-8 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 2 楼 MSDN 不二之选 2006-5-6 22:44 0
austiny 雪币： 235 活跃值： (100) 能力值： ( LV9，RANK：210 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	austiny 5 3 楼最初由 cypunkeree* 发布* 由于控件为IDOK = 1 搜索 11 01 00 00 01 只能找到 ........ MFC的消息映射表在内存中是分项存储的，如： 00411860 00000111 ; 消息号，111代表 WM_COMMAND 00411864 00000000 00411868 000003E8 ; 控件ID 0041186C 000003E8 ; 控件ID 00411870 0000000C ; 标志位 00411874 00402C00 digi.00402C00 ; 处理函数从你的情况来看，是否应该搜索 11 01 00 00 00 00 00 00 01 呢？ 2006-5-7 11:14 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=22275&highlight=MFC 没仔细研究过,但是勉强够用了 2006-5-7 11:26 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 5 楼太感谢这位大哥了找到了 0046EE50 11 01 00 00 00 00 00 00 01 00 00 00 01 00 00 00 0046EE60 35 00 00 00 A9 34 40 00 004034A9 . /E9 82CA0000 jmp 0040FF30 0040FF30 > \8B01 mov eax, [ecx] 0040FF32 . FFA0 54010000 jmp [eax+154] 不过我测试了一下，明显找错了地方最初由 ViperDodge* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=22275&highlight=MFC 没仔细研究过,但是勉强够用了找不到啊，非常感谢，可能我的是MFC71的原因吧 2006-5-7 11:33 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 6 楼 MFC真是太难了 2006-5-8 09:40 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 7 楼如果它是动态编译工程的，要到MFC42.dll中搜索要是静态编译的话，就在程序本模块中搜索 PUSH DWORD PTR [EAX+14] PUSH DWORD PTR [EBP+C] PUSH DWORD PTR [EBP+8] PUSH EDI 比如附件中的，Dynamictest.exe要在MFC42.DLL中搜索而Statictest.exe在程序模块中搜索就行了 PUSH DWORD PTR [EAX+14] 的值会显示函数执行地址 MFC7.1的好象也可以用此方法，但是要确定该程序必须是用了MFC库！上传的附件： release.rar （92.02kb，10次下载） 2006-5-8 09:51 0
cypunkeree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	cypunkeree 8 楼最初由 ViperDodge* 发布* 如果它是动态编译工程的，要到MFC42.dll中搜索要是静态编译的话，就在程序本模块中搜索 PUSH DWORD PTR [EAX+14] PUSH DWORD PTR [EBP+C] ........ 的确无法找到，问题是用OD调试不了，ICE不想装看来MFC71太牛了，现在已出到 MFC8了呜呜 2006-5-8 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复