Reversing MFC App Modified(通用查找MFC消息事件) Update...-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Reversing MFC App Modified(通用查找MFC消息事件) Update...

发表于: 2008-11-19 08:46 20716

Reversing MFC App Modified(通用查找MFC消息事件) Update...

playboysen 活跃值

2008-11-19 08:46

20716

Reversing MFC App Modified(通用查找MFC消息事件)

  I've read Externalist's article (Reversing MFC Applications) about searching for Button Event of any MFC applications and gained a lot yesterday.This article introduce the whole process and related principles in details and provide a script in the end.It's no doubt that this script is convenient for us and I wanna give my thanks to the author again.
  However,I have to admit that the whole process is not easy to master because of complex operations.You know,the author used Resource Hacker,Spy Window,OD and finally IDA to analyze and reserve the target in the article.If we follow those steps we'll waste much time definitely especially using IDA to reserve (if our target is not so small).Additionally,these complex operations reduce the adaptation dramatically too.

  Actually,it's not necessary to use those comprehensive tools and all we only need is an OD of any version.And as you konw that all we should do is modifying one place manually.To achieve our goal,I've modified the script written by Externalist and done a tutorial to tell you how to use it.Enjoy!
  If you have any questions,please refer to this article Reversing MFC Applications.

  Download:
  http://www.tuts4you.com/download.php?view.2509

The steps:
  1.Using OD to open our target and load our script (you'll find a conditional breakpoint in the Breakpoint Window after this step)
  2.Press F9 to run our target and then click "View---Windows" to find Button ID and Window Handle.
  3.Modify the conditional breakpoint manually.
  4.Press the related button and choose "Resume" to execute our script continously when the breakpoint effect.

  All done.

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

Reversing MFC App Modified.rar （1.77MB，924次下载）
The script and a target.rar （4.85kb，592次下载）

收藏・33

免费・7

支持

最新回复 (33) 1 2 ▶
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 2 楼强贴，得顶， 2008-11-19 09:17 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 3 楼支持国际化。 2008-11-19 09:19 0
张磊xd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	张磊xd 4 楼很好很强大，谢谢 2008-11-19 10:08 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 5 楼感谢LZ的资料。 2008-11-19 12:16 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 6 楼英文版，呵呵，学习 2008-11-19 15:19 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼其实我也正在研究一些程序框架的能用分析方法。此文一定好好学习。 2008-11-19 17:12 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 8 楼好东西啊12345 2008-11-21 17:52 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 9 楼强大，支持，学习 2008-11-21 17:54 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼好东西就放pediy，不要UB，而且服务器稳定 2008-11-21 18:42 0
hmilywen 雪币： 1482 活跃值： (879) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 11 楼不支持你这样的说法！ 2008-11-21 19:38 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 12 楼兄弟说的其实是有道理的一蓑烟雨近五天好像出了三次问题了吧要么直接提示“找不到网页”要么就是打开超慢，大约20分钟才打开主页当然在版主的努力维护下，很快恢复正常，但是毕竟有一段时间受影响无法登陆希望尽快把论坛的漏洞补上，以后少出现状况 2008-11-21 19:51 0
dodou 雪币： 443 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 120 粉丝 0 关注私信	dodou 13 楼 THANKS FOR SHARE 2008-11-29 10:12 0
lemoncoral 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	lemoncoral 14 楼很好的学习资料，顶 2008-11-29 12:19 0
飞雪雪币： 10 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	飞雪 1 15 楼多谢LZ的分享。 2008-11-29 12:25 0
古月胡雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	古月胡 16 楼不错，好东东，下载试用 2008-11-29 17:06 0
esimsoft 雪币： 194 活跃值： (385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	esimsoft 17 楼好东西,支持一下.最近也在为一个MFC应用的reverse犯愁呢. 2008-11-29 21:20 0
Mxixihaha 雪币： 4359 活跃值： (4338) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 18 楼好东东~~ 2008-11-29 23:02 0
龙之雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	龙之 19 楼好东西，记号先 2008-12-23 17:48 0
gzdang 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	gzdang 20 楼多谢分享。学习 2009-1-6 22:21 0
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 21 楼运行出错　，错误行号7 ,没有这个命令：GMA "mfc42"CODABASE 2009-1-8 13:13 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 22 楼好东西强顶~ 2009-1-8 19:45 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 23 楼脚本执行错误，DEMO演示中的MFC42.dll版本是6.02.4131.0，对应脚本FIND Dll_CodeBase,#FF7508FF750C??FF7604E8#，我系统里的MFC42.dll版本号是6.06.8063.0，在执行到下面语句时出错 FIND Dll_CodeBase,#FF7508FF750C??FF7604E8# MOV BP_Loc,$RESULT+A 在版本号是6.06.8063.0的MFC42.dll中找不到#FF7508FF750C??FF7604E8#，所以导致BP_Loc=0A而出现错误。在版本号是6.06.8063.0的MFC42.dll中应该将脚本修改为 FIND Dll_CodeBase,#FF248554EAEF738B4D08FF# 所以这个脚本还需要完善，把各个版本的MFC42.dll的特征码都收集齐。 2009-1-9 13:22 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 24 楼可能odbgscript版本过低吧，俺的1.65.2没问题。 2009-1-9 15:57 0
心静雪币： 193 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	心静 25 楼正需要，非常感谢！ 2009-1-16 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

playboysen

发帖

786

回帖

680

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 2 楼强贴，得顶， 2008-11-19 09:17 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 3 楼支持国际化。 2008-11-19 09:19 0
张磊xd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	张磊xd 4 楼很好很强大，谢谢 2008-11-19 10:08 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 5 楼感谢LZ的资料。 2008-11-19 12:16 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 6 楼英文版，呵呵，学习 2008-11-19 15:19 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼其实我也正在研究一些程序框架的能用分析方法。此文一定好好学习。 2008-11-19 17:12 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 8 楼好东西啊12345 2008-11-21 17:52 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 9 楼强大，支持，学习 2008-11-21 17:54 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼好东西就放pediy，不要UB，而且服务器稳定 2008-11-21 18:42 0
hmilywen 雪币： 1482 活跃值： (879) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 11 楼不支持你这样的说法！ 2008-11-21 19:38 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 12 楼兄弟说的其实是有道理的一蓑烟雨近五天好像出了三次问题了吧要么直接提示“找不到网页”要么就是打开超慢，大约20分钟才打开主页当然在版主的努力维护下，很快恢复正常，但是毕竟有一段时间受影响无法登陆希望尽快把论坛的漏洞补上，以后少出现状况 2008-11-21 19:51 0
dodou 雪币： 443 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 120 粉丝 0 关注私信	dodou 13 楼 THANKS FOR SHARE 2008-11-29 10:12 0
lemoncoral 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	lemoncoral 14 楼很好的学习资料，顶 2008-11-29 12:19 0
飞雪雪币： 10 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	飞雪 1 15 楼多谢LZ的分享。 2008-11-29 12:25 0
古月胡雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	古月胡 16 楼不错，好东东，下载试用 2008-11-29 17:06 0
esimsoft 雪币： 194 活跃值： (385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	esimsoft 17 楼好东西,支持一下.最近也在为一个MFC应用的reverse犯愁呢. 2008-11-29 21:20 0
Mxixihaha 雪币： 4359 活跃值： (4338) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 18 楼好东东~~ 2008-11-29 23:02 0
龙之雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	龙之 19 楼好东西，记号先 2008-12-23 17:48 0
gzdang 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	gzdang 20 楼多谢分享。学习 2009-1-6 22:21 0
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 21 楼运行出错　，错误行号7 ,没有这个命令：GMA "mfc42"CODABASE 2009-1-8 13:13 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 22 楼好东西强顶~ 2009-1-8 19:45 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 23 楼脚本执行错误，DEMO演示中的MFC42.dll版本是6.02.4131.0，对应脚本FIND Dll_CodeBase,#FF7508FF750C??FF7604E8#，我系统里的MFC42.dll版本号是6.06.8063.0，在执行到下面语句时出错 FIND Dll_CodeBase,#FF7508FF750C??FF7604E8# MOV BP_Loc,$RESULT+A 在版本号是6.06.8063.0的MFC42.dll中找不到#FF7508FF750C??FF7604E8#，所以导致BP_Loc=0A而出现错误。在版本号是6.06.8063.0的MFC42.dll中应该将脚本修改为 FIND Dll_CodeBase,#FF248554EAEF738B4D08FF# 所以这个脚本还需要完善，把各个版本的MFC42.dll的特征码都收集齐。 2009-1-9 13:22 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 24 楼可能odbgscript版本过低吧，俺的1.65.2没问题。 2009-1-9 15:57 0
心静雪币： 193 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	心静 25 楼正需要，非常感谢！ 2009-1-16 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Reversing MFC App Modified(通用 查找MFC消息事件) Update...

Reversing MFC App Modified(通用查找MFC消息事件) Update...