【文章标题】: 【原创】我也来谈谈消息断点一
【文章作者】: icefisher
【作者邮箱】: 181712814@qq.com
【软件下载】:
【软件名称】: echap518.exe(只是供学习的crackme)
【加壳方式】: 里面直接有个unpacked.ExE,是脱过壳的见【原创】我也来谈谈消息断点二
【保护方式】:
【使用工具】: OllyICE
【文章日期】: 20080813
-----------------------------------------------------------------------
第一篇原创希望大家支持下,首先我想和我一样菜的好多新人,一定都看过了论坛上的那个ollydbg教程,其中的消息断点真是让人难以理解,痛苦不堪啊,那么今天我就讲讲我自己的体会吧,希望望大家共勉。
首先,我觉得我们应该先了解消息,什么是消息,而谈到消息,就不能不说到windows程序设计的结构(大家放心。。。我大概讲下,不是什么重点)。
如下,这是一个典型windows程序结构,其中很多细节地方我都略去了,
HELLOWIN.C
/*------------------------------------------------------------------------
HELLOWIN.C -- Displays "Hello, Windows 98!" in client area
(c) Charles Petzold, 1998
-----------------------------------------------------------------------*/
#include <windows.h>
LRESULT CALLBACK WndProc (HWND, UINT, WPARAM, LPARAM) ;
int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
PSTR szCmdLine, int iCmdShow)
{
static TCHAR szAppName[] = TEXT ("HelloWin") ;
HWND hwnd ;
MSG msg ;
//前面都是变量定义,不关注。
WNDCLASwndclass ;
wndclass.style = CS_HREDRAW | CS_VREDRAW ;
wndclass.lpfnWndProc = WndProc ;
wndclass.cbClsExtra = 0 ;
wndclass.cbWndExtra = 0 ;
wndclass.hInstance = hInstance ;
wndclass.hIcon = LoadIcon (NULL, IDI_APPLICATION) ;
wndclass.hCursor = LoadCursor (NULL, IDC_ARROW) ;
wndclass.hbrBackground= (HBRUSH) GetStockObject (WHITE_BRUSH) ;
wndclass.lpszMenuNam = NULL ;
wndclass.lpszClassName= szAppName ;
//这一连串的wndclass是在定义一类窗口的属性,形象地说就是在定义一个模子,然后后面可以用这个模子去建立更多的窗口,其中这个模子中我们需要注意的就是红字的 wndclass.lpfnWndProc = WndProc ;,他指出了这个模子的消息处理函数是哪个?也就是说这个窗口内发生的一切事件,比如说点击,双击,鼠标移动,按键,按下按钮这一切都会生消息,而系统会自动调用WndProc去处理这些问题。
if (!RegisterClass (&wndclass))
{
MessageBox ( NULL, TEXT ("This program requires Windows NT!"),
szAppName, MB_ICONERROR) ;
return 0 ;
}
//上面的是很简单的一个注册模子,你开始定义了这个模子wndclass,那你得让系统知道啊,这部分就是这个功能,不须太关注。
hwnd = CreateWindow( szAppName, // window class name
TEXT ("The Hello Program"), // window caption
WS_OVERLAPPEDWINDOW, // window style
CW_USEDEFAULT,// initial x position
CW_USEDEFAULT,// initial y position
CW_USEDEFAULT,// initial x size
CW_USEDEFAULT,// initial y size
NULL, // parent window handle
NULL, // window menu handle
hInstance, // program instance handle
NULL) ; // creation parameters
//注意上面便是利用这个模子,再加上一些自己独有的特点建立了一个窗口,大家不需关注
ShowWindow (hwnd, iCmdShow) ;
UpdateWindow (hwnd) ;
while (GetMessage (&msg, NULL, 0, 0))
{
TranslateMessage (&msg) ;
DispatchMessage (&msg) ;
}
//上面这个需要关注,前面提到过,如果窗口产生了消息我们需要调用WndProc来处理,那么之前我们需要上面的哪个while循环先处理下,这个现在我们也不需要了解。
return msg.wParam ;
}
LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)[/SIZE]
{
HDC hdc ;
PAINTSTRUCT ps ;
RECT rect ;
//重点来了,大家注意当我们到了WndProc这个消息处理函数中时,我们会不自然地想到:那么多种的消息,系统如何分辨是那个呢,这是我们就要注意到UINT message,他说明了消息的种类,而WPARAM,LPARAM都是消息具体的参数,大家这时看下面,因为message表示的消息不同,系统使用了switch来选择对应的处理程序,这里要注意WM_CREATE:像这些WM_开头的都是消息,而实质上都是数字,不过是头文件定义了一些等价字符串而已。
switch (message)
{
case WM_CREATE:
PlaySound (TEXT ("hellowin.wav"), NULL, SND_FILENAME | SND_ASYNC) ;
return 0 ;
case WM_PAINT:
hdc = BeginPaint (hwnd, &ps) ;
GetClientRect (hwnd, &rect) ;
DrawText (hdc, TEXT ("Hello, Windows 98!"), -1, &rect,
DT_SINGLELINE | DT_CENTER | DT_VCENTER) ;
EndPaint (hwnd, &ps) ;
return 0 ;
case WM_DESTROY:
PostQuitMessage (0) ;
return 0 ;
}
return DefWindowProc (hwnd, message, wParam, lParam) ;
}
Ok,大家是不是觉得很抽象,大家只要把我的注释看下,大概了解这是干嘛就可以了,其实为了理解消息,只需要注意我红字标出的部分,wndclass.lpfnWndProc = WndProc ;这个就是我们的重点,他指出了这类windows窗口的消息处理交给了那个函数。然后重点就是CALLBACK,里面根据不同的消息转到不同的处理地方。
而大家在crackme中广为使用的则是对话框,比窗口实现方便些,他调用
DialogBox (
hInstance,
TEXT("AboutBox"),
hwnd,
AboutDlgProc
)
来实现,其中最后一个参数即为消息处理函数,等同于上面所说的WndProc。
好像太长了,我分两次写吧。第二次的在下面
http://bbs.pediy.com/showthread.php?t=70619
- 标 题:我也来谈谈消息断点一
- 作 者:icefisher
- 时 间:2008-08-13 12:38
- 链 接:http://bbs.pediy.com/showthread.php?t=70618
