您现在的位置:首页 >> 电脑安全 >> 加密解密 >> 内容

OD查找扫雷主窗口函数地址

时间:2014/10/10 19:31:50 点击:

  核心提示: 闲着没事,使用OD调试下扫雷程序,看了郁金香大牛的视频,OD载入扫雷程序,F9运行,查看——窗口(刷新),就可以看到主窗口地址,不知道什么原因,本机OD显示的地址是FFXXXXXXX地址,很...

闲着没事,使用OD调试下扫雷程序,看了郁金香大牛的视频,OD载入扫雷程序,F9运行,查看——窗口(刷新),就可以看到主窗口地址,不知道什么原因,本机OD显示的地址是FFXXXXXXX地址,很明显不对,换了好几个系统也不正常。无奈,只好自己跟下。

一、OD打开扫雷程序,程序停在模块入口点出

\

二、ctrl + g 在 RegisterClassW函数出下断点

\

然后 F9运行,停在此处,然后 ctrl + F9 跳出此函数

\

在pWndClass出下断点(此处是窗口注册类,下上断点看窗口注册类的地址),然后取消RegisterClassW的断点,重新运行,程序停在,pWndClass处

\

可知窗口注册类的地址为 7FED0 ,内存中查看窗口注册类内容。

由窗口注册类结构

typedef struct tagWNDCLASSW {
    UINT        style;
    WNDPROC     lpfnWndProc;
    int         cbClsExtra;
    int         cbWndExtra;
    HINSTANCE   hInstance;
    HICON       hIcon;
    HCURSOR     hCursor;
    HBRUSH      hbrBackground;
    LPCWSTR     lpszMenuName;
    LPCWSTR     lpszClassName;
} WNDCLASSW, *PWNDCLASSW, NEAR *NPWNDCLASSW, FAR *LPWNDCLASSW;

可知,结构第二项,为回调函数的地址,从内存中可知,回调函数地址为01001bc9

qqGqt9bO9qGqoaq82baoss7K/aOsyOfNvKO6PC9wPgo8cD48aW1nIHNyYz0="http://www.it165.net/uploadfile/files/2014/0910/20140910210300233.jpg" alt="\">

在此处下上断点,一但windows有消息传递,则在此处断下

\

我们可以拦截指定消息,右键——断点——条件

\

有单机按钮命令消息则断下


作者:电脑维修助手 来源:不详
相关评论
发表我的评论
  • 大名:
  • 内容:
  • 电脑维修知识网(www.dnwxzs.com) © 2017 版权所有 All Rights Reserved.
  • Email:pcweixiu@tom.com 站长QQ:20567788 冀ICP备11008166号 冀公网安备 13050002001002号
  • 技术支持与报障: 电脑维修知识网