重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

ida识别C语言标准函数,ida转c语言

如何用IDA找到这个程序中特定函数地址

在IDA反汇编窗口中记下函数开始内存地址,结束内存地址,然后转到“Hex -View”窗口记下二进制文件偏移量,最后使用WinHex打开二进制文件,找打对应位置,可以复制出来十六进制数据。

成都创新互联公司主营三沙网站建设的网络公司,主营网站建设方案,成都APP应用开发,三沙h5小程序定制开发搭建,三沙网站营销推广欢迎三沙等地区企业咨询

如何在IDA中找到MFC程序的消息处理函数

pDoc-UpdateAllViews(NULL);

//pDoc文档指针

或者OnDraw();

SendMessage(WM_PAINT);诸类

另外

MFC中关于对话框刷新的函数是:

void Invalidate(

BOOL bErase = TRUE

);

这个函数是用来强制更新窗口重绘的,UpdateData()是用来交换数据的

MFC的消息处理函数

1.AfxWndProc() 该函数负责接收消息,找到消息所属的CWnd对象,然后调用AfxCallWndProc

2.AfxCallWndProc() 该函数负责保存消息(保存的内容主要是消息标识符和消息参数)供应用程序以后使用,然后调用WindowProc()函数

3.WindowProc() 该函数负责发送消息到OnWndMsg()函数,如果未被处理,则调用DefWindowProc()函数

4.OnWndMsg() 该函数的功能首先按字节对消息进行排序,对于WM_COMMAND消息,调用OnCommand()消息响应函数,对于WM_NOTIFY消息调用OnNotify()消息响应函数。任何被遗漏的消息将是一个窗口消息。OnWndMsg()函数搜索类的消息映像,以找到一个能处理任何窗口消息的处理函数。如果OnWndMsg()函数不能找到这样的处理函数的话,则把消息返回到WindowProc()函数,由它将消息发送给DefWindowProc()函数

如何反汇编获知dll中函数的参数

可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。

现在使用W32DSM来具体说明:

1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。

它可以直接定位到该函数。

2。看准该函数的入口,一般函数是以以下代码作为入口点的。

push ebp

mov ebp, esp

3。然后往下找到该函数的出口,一般函数出口有以下语句。

ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果

就是参数的个数。

其中参数存放的地方:

ebp+08 //第一个参数

ebp+0C //第二个参数

ebp+10 //第三个参数

ebp+14 //第四个参数

ebp+18 //第五个参数

ebp+1C //第六个参数

。。。。

-------------------------------------------

还有一种经常看到的调用方式:

sub esp,xxxx //开头部分

//函数的内容

。。。

//函数的内容

add esp,xxxx

ret //结尾部分

其中xxxx/4的结果也是参数的个数。

-------------------------------------------------

还有一种调用方式:

有于该函数比较简单,没有参数的压栈过程,

里面的

esp+04就是第一个参数

esp+08就是第二个参数

。。。

esp+xx就是第xx/4个参数

你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。

----------------------------------------------

到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。

最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令

来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,

如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。

如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。对于以上的分析,本人只其到了抛砖引玉,

希望对大家有点用处。

昨天已经简单的告诉大家,怎么知道接口的参数个数了,以及简单的接口。由于编译器的优化原因,

可能有的参数没有我前面说的那么简单,今天就让我再来分析一下的DLL的调用的接口。如果在该DLL的

某个函数中,有关于API调用的话,并且调用API的参数整好有一个或多个是该DLL函数的参数的话。

那么就可以很容易的知道该DLL函数的参数了。

举例说明:以下汇编代码通过W32DSM得到。

Exported fn(): myTestFunction - Ord:0001h

:10001010 8B442410 mov eax, dword ptr [esp+10]

:10001014 56 push esi

:10001015 8B74240C mov esi, dword ptr [esp+0C]

:10001019 0FAF742410 imul esi, dword ptr [esp+10]

:1000101E 85C0 test eax, eax

:10001020 7414 je 10001036

:10001022 8B442418 mov eax, dword ptr [esp+18]

:10001026 8B4C2408 mov ecx, dword ptr [esp+08]

:1000102A 6A63 push 00000000

:1000102C 50 push eax

:1000102D 51 push ecx

:1000102E 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BEh

|

:10001030 FF15B0400010 Call dword ptr [100040B0]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:10001020(C)

|

:10001036 8BC6 mov eax, esi

:10001038 5E pop esi

:10001039 C3 ret

-------------------------------------------------------

其中myTestFunction是需要分析的函数,它的里面调用了USER32.MessageBoxA

这个函数计算参数个数的时候要注意了,它不是0X18/4的结果,原因是程序入口

的第二条语句又PUSH了一下,PUSH之前的ESP+10就是第4个参数,就是0x10/4 =4

PUSH之后的语句ESP+ XX,

其中(XX-4)/4才对应于第几个参数。

ESP+0C ==第2个参数

ESP+10 ==第3个参数

ESP+18 ==第5个参数

ESP+08 ==第1个参数

----------------------------这样共计算出参数的个数是5个,注意PUSH esi之前与PUSH esi之后,

PUSH一下,ESP的值就减了4,特别需要注意的地方!!!然后看函数的返回处RET指令,

由于看到了RET之前给EAX赋了值,所以可以知道该函数就必定返回了一个值,大家都知道EAX的寄存器

是4个字节的,我们就把它用long来代替好了,现在函数的基本接口已经可以出来了,

long myTestFunction(long p1,long p2,long p3,long p4,long p5);

但是具体的参数类型还需调整,如果该函数里面没有用到任何一个参数的话。那么参数

多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么,我们怎么去得到该函数的

参数呢?请看下面分析:

你有没有看到* Reference T USER32.MessageBoxA, Ord:01BEh这一条语句,

这说明了,在它的内部使用了WINAPI::MessageBox函数,我们先看一下它的定义:

int MessageBox(

HWND hWnd, // handle of owner window

LPCTSTR lpText, // address of text in message box

LPCTSTR lpCaption, // address of title of message box

UINT uType // style of message box

);

它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的,把它的调用过程

翻译为伪ASM就是:

PUSH uType

PUSH lpCaption

PUSH lpText

PUSH hWnd

CALL MessageBox

---------------------------------------

我们把这个于上面的语句对应一下,就可以清楚的知道

hWnd = NULL(0)

lpText = ecx

lpCaption = eax

uType = MB_OK(0)

---------------------------------

在往上面看,

原来 EAX 中的值是ESP+18中的内容得到了

ECX 中的值是ESP+08中的内容得到了

那么到现在为止就可以知道

lpText = ECX = [ESP+08] ==第1个参数

lpCaption = EAX = [ESP+18] ==第5个参数

现在我们可以把该DLL函数接口进一步写成:

long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

至于第3个参数ESP+10,然后找到该参数使用的地方,imul esi, dword ptr [esp+10]有这么一条指令。

因为imul是乘法指令,我们可以肯定是把ESP+10假设位long是不会错的,同理可以知道第2个参数esp+0C

肯定用long也不会错了,至于第4个参数,它只起到了一个测试的作用,

mov eax, dword ptr [esp+10]

test eax, eax

je 10001036

看到这个参数的用法了吗?

把它翻译位C语言就是:

if(p3)

{

//做je 10001036下面的那些指令

}

return ;

到现在为止可以把第3个参数看成是个指针了吧!就是如果p3为空就直接返回,如果不空就做其它一下事情。

好了,到现在位置可以把正确的接口给列出来了:

long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);

哈哈,现在成功了!!!

long CryptExtOpenCER(long p1,long p2,LPCSTR p3,long p4);

其中第3个参数可能是文件名称,

或者是PCERT_BLOB

它有CERT_QUERY_OBJECT_FILE,或者是CERT_QUERY_OBJECT_BLOB来决定。

---------------------------------------------------------------

今天想到了一个很好的办法,来解决参数的问题,不过有一定难度。

1。根据以前讲的各种方法,可以很快速的知道参数的个数,假设该函数

名称为MyTestFunc,参数的个数为3个。

于是可以定义如下:

long MyTestFunc(long p1,long p2,long p3);

2。安装一个HOOK(DLL)

3。通过别的程序调用,触发HOOK,调试到HOOK里面,就可以很清楚的知道

调用的参数,数值。

-------------

此方法本人还没有去实现,相信肯定是可以的。这样得到的参数应该相当准确。


网页名称:ida识别C语言标准函数,ida转c语言
网站URL:http://cqcxhl.com/article/dsscieg.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP