- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
想象一个显示按钮的应用程序:OK。是否可以在按钮收到点击后立即中断程序的执行并使用 WinDbg 查看反汇编?我该怎么做?在这种情况下,源代码不可用。
最佳答案
因此,您的描述非常笼统,定义不明确,确切的研究实际上取决于您要逆向的应用程序。如果您有符号,您会过得更轻松,但这不是必需的。
首先,一些(琐碎的)背景:Windows 通过 Windows 消息与应用程序通信。应用程序将从消息队列中获取消息,并且几乎总是会将这些消息分派(dispatch)给适当的 Windows 过程。
那么,首先 - 您是什么意思:“按钮收到点击后立即”?我怀疑您实际上并不关心这段代码。尽管您的应用程序可以有一个自定义按钮,并且您真的很关心该按钮如何处理 WM_LBUTTONDOWN 消息。我将假设您的应用程序有一个 Windows 股票按钮(在 user32.dll 或 comctl32.dll 中实现),并且您不关心它。
处理 WM_LBUTTONDOWN 的按钮控件的默认实现是将 WM_COMMAND 发送到包含该按钮的窗口。通常,您要调查的应用程序会处理那里的“点击”。现在,如果这是“确定”按钮,它的 ID 将为 IDOK(定义为 1),并且当您单击“Enter”键时 Windows 也会向您发送相同的消息。
所以,我们现在正在寻找应用程序如何处理 WM_COMMAND。您要查找的是 Windows 程序。用 Spy++ 做到这一点。打开 Spy 并找到包含您的按钮的窗口。您要查找的代码很可能在该窗口的 Windows 过程中。 Spy++ 会告诉你窗口过程的地址。
例如,让我们看一下记事本中“另存为”对话框的“保存”按钮。在我的机器上,地址是:0x73611142,它在 ComCtl32.dll 中
转到 WinDbg,查看函数。
0:000> u 73611142
COMCTL32!MasterSubclassProc
73611142 8bff mov edi,edi
73611144 55 push ebp
73611145 8bec mov ebp,esp
73611147 6afe push 0FFFFFFFEh
73611149 6858126173 push offset COMCTL32!Ordinal377+0x146 (73611258)
7361114e 68a1b06273 push offset COMCTL32!DllGetVersion+0x336f (7362b0a1)
73611153 64a100000000 mov eax,dword ptr fs:[00000000h]
73611159 50 push eax
这确实是一个函数。与所有 Windows 一样,它以 move edi,edi
开始,然后设置帧指针。
设置一个断点,点击开始,您几乎会立即中断。让我们来看看:
0:000> bu 73611142
0:000> g
0:000> kb1
ChildEBP RetAddr 子参数
0101f220 75d87443 00120c6a 00000046 00000000 COMCTL32!MasterSubclassProc
第一个参数 (00120c6a) 是窗口句柄。对比一下Spy++上的值,应该是一样的。第二个参数是消息。在我的例子中,它是 0x46,即 WM_WINDOWPOSCHANGING。
好的,我不关心所有这些消息,我只想中断我关心的消息。你关心 WM_COMMAND 是 0X0111 (winuser.h)
现在,输入以下内容(有点复杂的命令):
0:000> bu 73611142 "j poi(esp+4)==00120c6a AND poi(esp+8)==111 AND poi(esp+''; 'gc'"
breakpoint 0 redefined
你在 windows 过程上设置了一个断点,你告诉 WinDbg 只有当第一个参数(即 poi(esp+4) )是你的 Windows 句柄,第二个参数是 111 时才中断。'gc' 告诉WinDBG 在条件不满足时继续执行。
现在您可以调试反汇编了。如果你有符号,你的工作会更容易,但这不是必需的。无论如何,请记住从符号服务器下载 Microsoft 精简符号,这样如果您正在调试的代码正在调用 Windows API,您就可以看到它。
就是这样。如果您的要求不同(不同的窗口、不同的消息等),请修改此技术。如果您无法可靠地找到 Windows Procedure(尽管您必须遵循该代码),作为最后的手段,请考虑在 PostMessage 或 DispatchMessage 上放置一个断点。对于繁重的逆向使用 IDA,它将反汇编可执行文件,并解决各种交叉引用。
关于windows - 单击按钮时 WinDbg 中断,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14383929/
#include int main() { int i; for( i = 0; i< 10 ; i++ ) { printf("test1 &d", i);
我有一个连接到远程服务器以查询数据的 C# 程序。数据很大,所以查询大约需要 2 分钟才能完成。在这 2 分钟的时间内,互联网中断了。这导致作业无法完成,程序卡在获取数据例程中。 它建立了连接,但在选
语句 1: [2,4,6,7,8].each do |i| (i % 2 == 0) || (puts "Not even" && break) puts i end 声明 2: [2
我想知道 C++ 是否有任何处理中断的方法。我希望一个程序将信息存储在文本文件中,而另一个程序根据文本文件中的内容打印一条语句。由于我希望它尽可能准确,因此我需要在更新程序更新文件时中断打印程序。 最
我正在尝试终止一个线程,但它不会中断或停止。所有这些都是名为 Webots 的软件 Controller 的一部分。我用它来模拟多机器人系统。在每个机器人的 Controller 中,我启动了一个线程
中断10h可以使用的服务有很多, 我想问一下关于其中两个我很困惑的问题 首先是, AH = 06H SCROLL UP WINDOW AH = 07H SCROLL DOWN WINDOW 在 D
我有一个基本的 SQL 问题,如果有两个事件连接,"A"和 "B"到 SQL 服务器,假设两者之间发生死锁,那么为了避免死锁,SQL 服务器将回滚其中一个连接“A”或“B”的交易。假设 SQL Ser
我有一个 mapkit/ View ,它工作正常 - 但我滚动并在 2 - 10 次移动后我的应用程序崩溃了......而且这只是一个“中断”。 这是我的代码的一部分。我认为这是后台线程和数组释放/覆
有什么办法可以做到,比如 C/C# ? 例如(C#风格) for (int i = 0; i Seq.tryFind (fun i -> printfn "%d" i i=66) 在实践中,
我的问题是Haskell如何与系统交互。 例如,IO如何发生? 我对IO monad不感兴趣。或者如何使Haskell打印字符串或读取文件。 我对Haskell和底层操作系统之间的层(如果是这样的话)
你能确认下一个break是否取消了内部for循环吗? for (out in 1:n_old){ id_velho <- old_table_df$id[out] for
我有一个程序可以进行一些数据分析,并且有几百行长。 在程序的早期,我想做一些质量控制,如果没有足够的数据,我希望程序终止并返回到 R 控制台。否则,我希望执行其余代码。 我尝试过break、brows
我有一个 if 语句,用于检查我的对象(向导)是否命中了项目。如果他这样做了,巫师的大小将会改变,他应该能够在与障碍物的 1 次碰撞中幸存。 现在我陷入了“在 1 个障碍物碰撞中幸存”,因为在我的碰撞
我正在尝试使用迭代器来显示很多内容。我不断收到“break;”错误线。它说这是一个无法访问的声明。如有任何帮助,我们将不胜感激。 public Lot getLot(int number) {
我正在创建一个应用程序,我需要在其中处理可能非常庞大且可能需要一些时间的数据。 现在我阅读了很多关于 IntentService 的资料,实际上我已经将它实现为处理 REST 调用的通信类,但现在我试
我有一个自定义的 UITableViewCell。该单元具有三个标签。最左边的“金额”标签具有以下约束。 在单元格的右侧,我有另一个标签,“Label Dollar Amount”。它具有以下约束:
我有以下不和谐嵌入: message.reply({ content: '', embed: { color: 11416728, author
JavaScript 不是我最擅长的技能,但我会尽力解释,所以就这样吧。我有人在我的网站上创建了一个幻灯片菜单,我也使用 jplayer 音乐播放器。 现在一切正常,直到我在顶部添加此脚本。由于某种原
我已经在 Ubuntu 上安装了 android studio,有一个带有损坏图像的 API,我也尝试过重新安装。我应该怎么做才能克服这个问题。 删除它后,它没有在 sdk 管理器中显示 提前致谢。
假设我的站点上有大约 10 个 css 文件。我想把它们合二为一。但是当我组合它们时(只是“连接”文件,以便将它们包含到 html 中),我的样式/布局中断了。这不是路径问题或其他问题,只是选择器无法
我是一名优秀的程序员,十分优秀!