mfc里面有张消息映射表(MESSAGE_MAP),消息都是通过这张表来分发到相应函数里的。
这个是我自制的定位器,从vc6.0到现在的2013生成的mfc都可以用,全静态扫描并已处理动态基址.
下面来看MESSAGE_MAP结构:
struct AFX_MSGMAP_ENTRY
{
UINT nMessage;
UINT nCode;
UINT nID;
UINT nLastID;
UINT_PTR nSig;
AFX_PMSG pfn;
};
pfn就是指向响应的位置,每一个继承CWnd的类都会对应一组消息映射表,表总是处在.rdata段,我认为可以最后通过一张全为0的空表来判断是否结束,下面来看怎么找到这张表.
方法1
mfc消息的流程很长,随便一个button按下要经过十多个函数才能到相应位置,十多个函数指的是r3的,算上r0的还要更多,有兴趣的话你就在响应函数里下个端点然后看它栈帧.
在那么多函数里有个关键的函数OnWndMsg(),这个函数里面判断过来的是什么消息,然后进行分发。 它会调用GetMessageMap()来获得MESSAGE_MAP数组的位置,可以通过它调用时的特征定位,调用时总是call dword ptr [eax+30h],进call后只有一句话mov eax,xxx然后就retn。xxx就指向MESSAGE_MAP数组的位置。还有就是我通过实际分析时发现一个规律就是一个GetMessageMap()前后往往正是别的类的GetMessageMap()。
方法2
这个结构有三个关键的地方
1、 nMessage 消息id
2、 nID,nLastID 控件id,一般情况下这两个值是相等的
3、 pfn 已经说过了
举个button按下的例子
nMessage = WM_COMMAND
nCode = 0
nID = 1001这个id可以在资源节里找到,具体自己查pe结构
nLastID = 1001同上
nSig = 0x38这个牵扯到的东西有点多,对我们定位意义不大,先无视它
pfn = 4074F0 这个是我OnButtonXXX()的地址
通过这些特征就可以在.rdata里面查找了
作者qq1454322323