一个调试VC程序的问题（请看雪斑竹回复一下）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

一个调试VC程序的问题（请看雪斑竹回复一下）

发表于: 2004-11-12 14:55 7157

一个调试VC程序的问题（请看雪斑竹回复一下）

zch2008

2004-11-12 14:55

7157

用EXESCOPE打开一VC程序，里面有一对话框，其ID为65，EXESCOPE左下脚提示

偏移量＝0004A0B0,大小＝03BE

对话框里有一“确定”按钮，其ID为1005。

请问，如何根据这几个信息精确定位“确定”按钮的 OnClick事件偏移地址。（像DEDE反汇编DELPHI程序那样，能知道每个BUTTON的Offset）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・1

支持

最新回复 (20)
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 2 楼如果程序由 C 编写，那并没有 onclick 这种东西 C 程序没有 “事件” 的观念，所有使用者动作，都被系统以Message(信息) 的方式反映出来。例如使用者按下一个按钮，程序窗口会接收到一个 wm_command 信息，程序的信息处理程序会区别收到的信息，再跳到处理它的地方处理信息的程序，它的位置可以由窗口的查询工具得到 (以 GetWindowLong ) 2004-11-12 15:49 0
mhsong 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 143 粉丝 1 关注私信	mhsong 3 楼 “子控件向父窗口发送的消息是WM_COMMAND，并在传递的参数wPara的底位中包括控件的ID号，消息号在wParam的高位，lParam中则包括了子控件的窗口的句柄” 2004-11-12 17:01 0
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 30 关注私信	laoqian 8 4 楼最初由 mhsong 发布 “子控件向父窗口发送的消息是WM_COMMAND，并在传递的参数wPara的底位中包括控件的ID号，消息号在wParam的高位，lParam中则包括了子控件的窗口的句柄” 明白了Hiword(wParam)，Loword(wParam)的作用，谢谢俄。 2004-11-12 17:15 0
zch2008 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	zch2008 5 楼谢谢几位朋友积极答复！ 2004-11-12 17:23 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 6 楼最初由 zch2008 发布谢谢几位朋友积极答复！下次不要点将了哦，大家都很热情的。:) 2004-11-12 17:25 0
kimlon 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	kimlon 7 楼请问，如何根据这几个信息精确定位“确定”按钮的 OnClick事件偏移地址。（像DEDE反汇编DELPHI程序那样，能知道每个BUTTON的Offset）虽然有回答，但是还没有解决问题。大家平时用什么办法? 比如利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。 2004-11-12 17:32 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 8 楼利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。是不可以的…… 2004-11-12 18:42 0
blowfish 雪币： 3246 活跃值： (364) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 9 楼如果要完全搞清消息流向，得看《深入浅出MFC》之类的书吧？调VC的程序如果有配套的MFCxx.PDB或者MFCxx.NMS是很方便的:D 2004-11-12 19:25 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 10 楼我不爱用 MFC 总觉得直接用 API 的传统写作方式最舒服 ;) 2004-11-13 00:17 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 11 楼最初由 kimlon 发布请问，如何根据这几个信息精确定位“确定”按钮的 OnClick事件偏移地址。（像DEDE反汇编DELPHI程序那样，能知道每个BUTTON的Offset）虽然有回答，但是还没有解决问题。大家平时用什么办法? 比如利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。若是他没有用MFC，可以找到show dialog的函数，一般是DialogBoxParam，但是要注意参数。找到以后进去，看wParam，对应WM_COMMAND的判断分支就是WM_COMMAND，然后找lParam对应ID的Jxx就可以了。今天下午静态分析一个shareware时悟到的。做个reverse确实收获很大，哪怕还没有做完。 MFC的话……请问kanxue有熟悉MFC的吗？拜一拜，学习学习。 2004-11-13 00:33 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼最初由 firstrose 发布若是他没有用MFC，可以找到show dialog的函数，一般是DialogBoxParam，但是要注意参数。找到以后进去，看wParam，对应WM_COMMAND的判断分支就是WM_COMMAND，然后找lParam对应ID的Jxx就可以了。 ........ MFC小楼好像比较熟悉，最近在研究这个。 2004-11-13 08:35 0
小楼雪币： 166 活跃值： (112) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 56 粉丝 1 关注私信	小楼 1 13 楼你可以看看这个，我在作的东西 http://www.blogcn.com/user20/xixiaolou/index.html 2004-11-13 09:52 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 14 楼 DeMFC Lite v0.2 没有下载吗? 2004-11-13 10:49 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 15 楼 MFC 还是比较好用不过SDK的比较爽 2004-11-13 11:52 0
cfanwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	cfanwolf 16 楼 TO:firstrose 能把你的找的真个过程详细些出来吗。最好有例子，那就太好了。谢谢firstrose，以及这个坛子所有朋友！ 2004-11-13 14:22 0
kimlon 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	kimlon 17 楼强烈要求小楼兄把 DeMFC Lite v0.2 放出来。大家也可以帮你测试。工具是在测试中不断完美的。 2004-11-15 13:45 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 18 楼最初由 kanxue 发布 MFC小楼好像比较熟悉，最近在研究这个。小楼，不是写VB PCODE逆向的那个吗？网上就2篇，没下文了。改行了？你可以看看这个，我在作的东西 http://www.blogcn.com/user20/xixiaolou/index.html 汗……拜一个。 2004-11-15 17:38 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 19 楼 mfc的消息处理也和delphi差不多，都有一个消息处理表格，先处理这个表格中的相应事件，然后再传递给父类。 vc7中我找过，实在一个附加段中。好像是长度20字节的一个结构体有按钮id、事件、处理过程的入口点。 vc6中也有，不过还没有找到规律。 2004-11-15 18:50 0
yafeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	yafeng 20 楼会调函数一般在注册窗口类或者生成窗体的函数的参数里有地址，直接这么定位就可以了 2004-11-15 21:40 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 21 楼最初由 yafeng 发布会调函数一般在注册窗口类或者生成窗体的函数的参数里有地址，直接这么定位就可以了 sdk可以这么干，但是mfc就不能了，消息处理十分的麻烦，根本没有sdk中的消息回调函数。 2004-11-16 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zch2008

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 2 楼如果程序由 C 编写，那并没有 onclick 这种东西 C 程序没有 “事件” 的观念，所有使用者动作，都被系统以Message(信息) 的方式反映出来。例如使用者按下一个按钮，程序窗口会接收到一个 wm_command 信息，程序的信息处理程序会区别收到的信息，再跳到处理它的地方处理信息的程序，它的位置可以由窗口的查询工具得到 (以 GetWindowLong ) 2004-11-12 15:49 0
mhsong 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 143 粉丝 1 关注私信	mhsong 3 楼 “子控件向父窗口发送的消息是WM_COMMAND，并在传递的参数wPara的底位中包括控件的ID号，消息号在wParam的高位，lParam中则包括了子控件的窗口的句柄” 2004-11-12 17:01 0
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 30 关注私信	laoqian 8 4 楼最初由 mhsong 发布 “子控件向父窗口发送的消息是WM_COMMAND，并在传递的参数wPara的底位中包括控件的ID号，消息号在wParam的高位，lParam中则包括了子控件的窗口的句柄” 明白了Hiword(wParam)，Loword(wParam)的作用，谢谢俄。 2004-11-12 17:15 0
zch2008 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	zch2008 5 楼谢谢几位朋友积极答复！ 2004-11-12 17:23 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 6 楼最初由 zch2008 发布谢谢几位朋友积极答复！下次不要点将了哦，大家都很热情的。:) 2004-11-12 17:25 0
kimlon 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	kimlon 7 楼请问，如何根据这几个信息精确定位“确定”按钮的 OnClick事件偏移地址。（像DEDE反汇编DELPHI程序那样，能知道每个BUTTON的Offset）虽然有回答，但是还没有解决问题。大家平时用什么办法? 比如利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。 2004-11-12 17:32 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 8 楼利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。是不可以的…… 2004-11-12 18:42 0
blowfish 雪币： 3246 活跃值： (364) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 9 楼如果要完全搞清消息流向，得看《深入浅出MFC》之类的书吧？调VC的程序如果有配套的MFCxx.PDB或者MFCxx.NMS是很方便的:D 2004-11-12 19:25 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 10 楼我不爱用 MFC 总觉得直接用 API 的传统写作方式最舒服 ;) 2004-11-13 00:17 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 11 楼最初由 kimlon 发布请问，如何根据这几个信息精确定位“确定”按钮的 OnClick事件偏移地址。（像DEDE反汇编DELPHI程序那样，能知道每个BUTTON的Offset）虽然有回答，但是还没有解决问题。大家平时用什么办法? 比如利用button的ID号知道他要执行的代码段。然后就可以去下断点。。。若是他没有用MFC，可以找到show dialog的函数，一般是DialogBoxParam，但是要注意参数。找到以后进去，看wParam，对应WM_COMMAND的判断分支就是WM_COMMAND，然后找lParam对应ID的Jxx就可以了。今天下午静态分析一个shareware时悟到的。做个reverse确实收获很大，哪怕还没有做完。 MFC的话……请问kanxue有熟悉MFC的吗？拜一拜，学习学习。 2004-11-13 00:33 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼最初由 firstrose 发布若是他没有用MFC，可以找到show dialog的函数，一般是DialogBoxParam，但是要注意参数。找到以后进去，看wParam，对应WM_COMMAND的判断分支就是WM_COMMAND，然后找lParam对应ID的Jxx就可以了。 ........ MFC小楼好像比较熟悉，最近在研究这个。 2004-11-13 08:35 0
小楼雪币： 166 活跃值： (112) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 56 粉丝 1 关注私信	小楼 1 13 楼你可以看看这个，我在作的东西 http://www.blogcn.com/user20/xixiaolou/index.html 2004-11-13 09:52 0
GoOdLeiSuRe 雪币： 237 活跃值： (175) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 117 粉丝 0 关注私信	GoOdLeiSuRe 4 14 楼 DeMFC Lite v0.2 没有下载吗? 2004-11-13 10:49 0
fredcc 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	fredcc 15 楼 MFC 还是比较好用不过SDK的比较爽 2004-11-13 11:52 0
cfanwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	cfanwolf 16 楼 TO:firstrose 能把你的找的真个过程详细些出来吗。最好有例子，那就太好了。谢谢firstrose，以及这个坛子所有朋友！ 2004-11-13 14:22 0
kimlon 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	kimlon 17 楼强烈要求小楼兄把 DeMFC Lite v0.2 放出来。大家也可以帮你测试。工具是在测试中不断完美的。 2004-11-15 13:45 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 18 楼最初由 kanxue 发布 MFC小楼好像比较熟悉，最近在研究这个。小楼，不是写VB PCODE逆向的那个吗？网上就2篇，没下文了。改行了？你可以看看这个，我在作的东西 http://www.blogcn.com/user20/xixiaolou/index.html 汗……拜一个。 2004-11-15 17:38 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 19 楼 mfc的消息处理也和delphi差不多，都有一个消息处理表格，先处理这个表格中的相应事件，然后再传递给父类。 vc7中我找过，实在一个附加段中。好像是长度20字节的一个结构体有按钮id、事件、处理过程的入口点。 vc6中也有，不过还没有找到规律。 2004-11-15 18:50 0
yafeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	yafeng 20 楼会调函数一般在注册窗口类或者生成窗体的函数的参数里有地址，直接这么定位就可以了 2004-11-15 21:40 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 21 楼最初由 yafeng 发布会调函数一般在注册窗口类或者生成窗体的函数的参数里有地址，直接这么定位就可以了 sdk可以这么干，但是mfc就不能了，消息处理十分的麻烦，根本没有sdk中的消息回调函数。 2004-11-16 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复