几何尺寸与公差论坛------致力于产品几何量公差标准GD&T (GDT:ASME)|New GPS(ISO)研究/CAD设计/CAM加工/CMM测量  


返回   几何尺寸与公差论坛------致力于产品几何量公差标准GD&T (GDT:ASME)|New GPS(ISO)研究/CAD设计/CAM加工/CMM测量 » 仿射空间:CAX软件开发(三)二次开发与程序设计 » 程序设计 » 汇编语言
用户名
密码
注册 帮助 会员 日历 银行 搜索 今日新帖 标记论坛为已读


回复
 
主题工具 搜索本主题 显示模式
旧 2009-12-14, 11:50 AM   #1
huangyhg
超级版主
 
huangyhg的头像
 
注册日期: 04-03
帖子: 18592
精华: 36
现金: 249466 标准币
资产: 1080358888 标准币
huangyhg 向着好的方向发展
默认 【转帖】用特征码定位关键代码,秒杀mfc程序

随便找一个mfc42的cm,用od载入,有壳,不用管,直接f9,然后alt+e,双击mfc42.dll,ctrl+f,输入call [ebp+14],在第一个找到的地址处f2下断点。

点cm的确定按钮,od断下,f2删除断点,f7。
__________________
借用达朗贝尔的名言:前进吧,你会得到信心!
[url="http://www.dimcax.com"]几何尺寸与公差标准[/url]
huangyhg离线中   回复时引用此帖
GDT自动化论坛(仅游客可见)
旧 2009-12-14, 11:50 AM   #2
huangyhg
超级版主
 
huangyhg的头像
 
注册日期: 04-03
帖子: 18592
精华: 36
现金: 249466 标准币
资产: 1080358888 标准币
huangyhg 向着好的方向发展
默认 回复: 【转帖】用特征码定位关键代码,秒杀mfc程序

原文:http://bbs.pediy.com/showthread.php?t=82660

【文章标题】: 必杀技公布——用特征码定位关键代码,秒杀MFC程序
【文章作者】: 书呆彭
【下载地址】: 自己搜索下载
【使用工具】: VC与OllyICE
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
------------------------------------------------------------------------------
--
【详细过程】
本文所讲的方法,其实是一个很古老的方法了。以前,考虑到此法的杀伤力巨大,不便
于公布。

随着软件开发者保护意识的提高和软件保护技术的发展,此法的杀伤力逐渐下降成为普
通等级。

我本人这学期的课程和任务十分多,打算暂时把程序调试这个业余爱好放一放,估计至
少会有半年时间不常来看雪了。

把这个方法写出来,算是给大家的告别礼物。



对于直接使用SDK而不使用第三方库的程序,我们要定位到程序的“关键代码”并不困难
。通常在CreateWindow函数或DialogBoxParam函数下断点,可以直接获得其主界面的窗口
过程或对话框过程。但是对于使用了MFC的程序,我们找到的窗口过程或对话框过程是在M
FC提供的程序框架的内部,经过层层的分发和筛选,消息才最终到达用户代码,直接分析
起来比较繁琐。

幸好,有一个Olly的脚本,可以直接帮助我们找到诸如OnOK()之类的函数。这个脚本用
到的方法,是建立在对MFC内部机制充分理解的基础上,通过在消息分发的代码处下条件断
点而完成的。

然而,我马上要讲到的这个方法,在一定程度上,比这个脚本还好使,可以一下就定位
到我们感兴趣的代码处。而且,可以举一反三,如果你看明白了其中的思路,可以自己扩
展成为十分强大的“必杀技”,不仅对MFC,对其它的应用程序框架也有效果。


我就不讲我如何想到的这个方法,只讲两个例子。如果你看懂了这个例子,其中的思路
肯定会明白了。而且,十分简单。


我以MFC42为例。先打开VC6,创建一个MFC的对话框程序,按默认设置。我们在“OK”按
钮的处理函数OnOK()的开头,写上这样一句:

__asm int 3

然后,按Release编译。

现在,用OD调试程序,不要忽略int3异常,F9运行,点击“OK”,OD马上断下。

看堆栈:


代码:
0012F80C 73EFE938 返回到 MFC42.73EFE938
0012F810 00000000
0012F814 004022E8 MFCDialo.004022E8



我们到 MFC42.73EFE938这看一下:


代码:
73EFE932 8B4D 08 MOV ECX, DWORD PTR SS:[EBP+8]
73EFE935 FF55 14 CALL DWORD PTR SS:[EBP+14] ; 这句就
是调用用户函数的CALL
73EFE938 5F POP EDI ; 这就是
堆栈中的 MFC42.73EFE938
73EFE939 8BC6 MOV EAX, ESI
...


我们看到,73EFE935处的CALL [EBP+14]的目标函数就是我们的OnOK()。记住这个地址。


我们按ALT+E,打开模块列表,双击下面MFC42.dll这一行:


代码:
Executable modules
基址 大小 入口 名称 文件版本 路径
00400000 00005000 00401780 MFCSigna 1, 0, 0, 1 F:\Documents\M
Y CODE\MFCDialog\Release\MFCDialog.exe
00460000 0009B000 00486E23 ADVAPI32 5.2.3790.3959 (s D:\WINDOWS\sys
wow64\ADVAPI32.dll
00500000 0008B000 0050155C OLEAUT32 5.2.3790.4202 D:\WINDOWS\sys
wow64\OLEAUT32.dll
00590000 00052000 005A006D SHLWAPI 6.00.3790.3959 ( D:\WINDOWS\sys
wow64\SHLWAPI.dll
02160000 00017000 odbcint 3.526.1830.0 (sr D:\WINDOWS\sys
tem32\odbcint.dll
48890000 0003D000 488C5681 ODBC32 3.526.3959.0 (sr D:\WINDOWS\sys
tem32\ODBC32.dll
4B3C0000 00050000 4B3C1574 MSCTF 5.2.3790.3959 (s D:\WINDOWS\Sys
WOW64\MSCTF.dll
4DC30000 0002E000 4DC49F69 msctfime 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\msctfime.ime
71BB0000 00009000 71BB1060 WSOCK32 5.2.3790.0 (srv0 D:\WINDOWS\sys
tem32\WSOCK32.dll
71BF0000 00008000 71BF123D WS2HELP 5.2.3790.1830 (s D:\WINDOWS\sys
tem32\WS2HELP.dll
71C00000 00017000 71C02560 WS2_32 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\WS2_32.dll
73EB0000 00121000 73F84A8E MFC42 6.06.8063.0 D:\WINDOWS\sys
tem32\MFC42.DLL
75490000 00065000 754C93CA USP10 1.0422.3790.3959 D:\WINDOWS\sys
tem32\USP10.dll
75E60000 00027000 75E61239 apphelp 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\apphelp.dll
76190000 00012000 76193341 MSASN1 5.2.3790.3959 (s D:\WINDOWS\sys
wow64\MSASN1.dll
761B0000 00093000 761B15FA CRYPT32 5.131.3790.3959 D:\WINDOWS\sys
wow64\CRYPT32.dll
762B0000 00049000 762B16A5 comdlg32 6.00.3790.3959 ( D:\WINDOWS\sys
wow64\comdlg32.dll
77210000 000AB000 772115A2 WININET 6.00.3790.4392 ( D:\WINDOWS\sys
wow64\WININET.dll
77530000 00097000 775948BA COMCTL32 5.82 (srv03_sp2_ D:\WINDOWS\Win
SxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_5.82.3790.3959_x-ww
_78FCF8D0\COMCTL32.dll
77670000 00139000 776BC692 ole32 5.2.3790.3959 (s D:\WINDOWS\sys
wow64\ole32.dll
77BA0000 0005A000 77BAF78B msvcrt 7.0.3790.3959 (s D:\WINDOWS\sys
wow64\msvcrt.dll
7C8D0000 007FF000 7C92BB2B SHELL32 6.00.3790.4184 ( D:\WINDOWS\sys
wow64\SHELL32.dll
7D4C0000 00130000 7D4DFD59 kernel32 5.2.3790.4062 (s D:\WINDOWS\sys
wow64\kernel32.dll
7D600000 000F0000 ntdll 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\ntdll.dll
7D800000 00090000 7D82B710 GDI32 5.2.3790.4396 (s D:\WINDOWS\sys
wow64\GDI32.dll
7D8D0000 00050000 7D8E0E4B Secur32 5.2.3790.3959 (s D:\WINDOWS\sys
wow64\Secur32.dll
7D930000 000D0000 7D969635 USER32 5.2.3790.4033 (s D:\WINDOWS\sys
wow64\USER32.dll
7DA20000 000E0000 7DA3049E RPCRT4 5.2.3790.4115 (s D:\WINDOWS\sys
wow64\RPCRT4.dll
7DBC0000 00009000 7DBC12E2 LPK 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\LPK.DLL
7DBD0000 00103000 7DC5A99E comctl_1 6.0 (srv03_sp2_r D:\WINDOWS\Win
SxS\WOW64_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.3959_x-w
w_5FA17F4E\comctl32.dll
7DEE0000 00060000 7DEF02D0 IMM32 5.2.3790.3959 (s D:\WINDOWS\sys
tem32\IMM32.DLL
7DF50000 00070000 7DF637D7 uxtheme 6.00.3790.3959 ( D:\WINDOWS\sys
tem32\uxtheme.dll


就来到了MFC42.DLL这个模块的.text节了。好,我们按Ctrl+F,输入CALL [EBP+0X14],
回车。搜索到的第一个结果就是:


代码:
73EFE935 FF55 14 CALL DWORD PTR SS:[EBP+14] ; 这句就
是调用用户函数的CALL



现在明白本文题目的意思了吧。。。


下面来看看此法的应用。

随便找一个MFC42的CM,用OD载入,有壳,不用管,直接F9,然后ALT+E,双击MFC42.DL
L,CTRL+F,输入CALL [EBP+14],在第一个找到的地址处F2下断点。

点CM的确定按钮,OD断下,F2删除断点,F7。

这里就是按钮的处理函数。可以分析了。


------------------------------------------------------------------------------
--
【经验总结】
如果你看明白了我的过程,那么你也应该明白我的思路。

MFC42.DLL的特征码就是指令CALL [EBP+14]

顺便说一下,所有的按钮控件的处理函数OnXXXClick()都经过这里。并且,编辑框控件
的OnChange()函数,以及其它很多控
件的消息,比如CheckBox的消息,甚至OnClose()也都经过这里。什么原因呢?因为MFC
框架的消息分发过程,是按参数类型
模板分类的。如果不理解,就不用理解了,只要记住方法就行了。

另外,对所有的MFC程序,如MFC71D,MFC90U等,这个方法都可以用,并且静态连接的也
可以,并且Delphi的程序也可以,只
要掌握了原理,方法大同小异。至于各自的“特征码”是什么,自己去找吧。


祝同学们早日成为高手。

------------------------------------------------------------------------------
--
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
__________________
借用达朗贝尔的名言:前进吧,你会得到信心!
[url="http://www.dimcax.com"]几何尺寸与公差标准[/url]
huangyhg离线中   回复时引用此帖
回复


主题工具 搜索本主题
搜索本主题:

高级搜索
显示模式

发帖规则
不可以发表新主题
不可以回复主题
不可以上传附件
不可以编辑您的帖子

vB 代码开启
[IMG]代码开启
HTML代码关闭



所有的时间均为北京时间。 现在的时间是 05:37 PM.


于2004年创办,几何尺寸与公差论坛"致力于产品几何量公差标准GD&T | GPS研究/CAD设计/CAM加工/CMM测量"。免责声明:论坛严禁发布色情反动言论及有关违反国家法律法规内容!情节严重者提供其IP,并配合相关部门进行严厉查处,若內容有涉及侵权,请立即联系我们QQ:44671734。注:此论坛须管理员验证方可发帖。
沪ICP备06057009号-2
更多