-
-
[原创]x64dbg入门系列(五)- 消息断点
-
2020-6-19 15:07
-
观察程序
程序有两个文本框、按钮。为了学习消息断点,这次将会从使用消息断点的角度来分析程序。
分析程序
将程序拖入到调试器中直接运行程序,接着在句柄标签栏——>右键刷新,就可以在窗口这个界面看到按钮窗口
选中我们需要下的按钮断点,右键——>消息断点,就会出现下图选择消息的界面
按钮有几种状态?
两种:按下、弹起
这两个状态对应到消息断点就是按下“WM_LBUTTONDOWN”,弹起“WM_LBUTTONUP”
接着我们在文本框中输入测试数据。
当按下“Check”按钮后调试器会在下图的位置断下,这个时候如果一直单步调试是走不出user32.dll的,这是因为IsDialogMessage会把句柄传递位ring0。
这个时候我们只需要在内存布局——>代码段右键——>内存执行断点——>运行
这个时候程序会在下图的位置断下。
继续往后分析发现GetDlgItemTextA函数,接着对这段代码进行详细分析,分析结果如下。
下图即是“call 201166”和“call 40117B“所对应的MessageBoxA弹窗。
这篇文章主要是为了让大家认识和了解消息断点,所以一些有关算法的关键函数并没有做过多的分析。
参考:https://bbs.pediy.com/thread-21532.htm
公众号:一谷米粒
知乎:https://www.zhihu.com/people/yi-gu-mi-li-47
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
虽然通过模块代码断的内存断点是一个办法来定位调用点,其实比较直观的方式是通过“调用栈”进行定位,在消息断点停下来的时候,查看调用栈,对最近的cycle发起来的调用即是代码发起位置。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
