Исследование программ на VC++

Подскажите чего почитать по этой теме. Я так понимаю это Native Code. Использует библиотеку mfc90.dll и функции типа mfc_#1456 и т.п. Которые в свою очередь вызывают уже АПИ. Не могу ничего в этом коде отловить. Даже получение текста из Edit'a.

Спасибо.

 

Есть несколько вариантов написания программы на VC++:
1) с MFC
2) со стандартным StartUp-кодом
3) без StartUp-кода
Если файл импортирует mfc90.dll и из нее функции, похожие по имени на операторы языка Си++ - это MFC. Если этого нет, значит MFC не используется. Потом определяем StartUp-код. Их несколько вариантов - их можно взять из самой студии. Или скомпилировать небольшие программки со всеми вариантами и сравнивать глазами. Вот несколько примеров:

Код (Text):

1. int/void main(int argv, char * argv[]);
2. int/void main();
3. int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR     lpCmdLine, int       nCmdShow);

Есть еще несколько - всех не знаю.
с MFC для общения с окнами используются MFC-функции.
Без MFC - WinAPI-функции.
Для начала хватит. Я использую довольно старую VC 6.0, возможно что-то изменилось и наверняка немного добавилось.

Чего почитать?
Windows via C/C++
Разработка Windows приложений с помощью MFC и API-функций

ссылок не знаю. По конкретней - по какой теме - кодинг или ресирвинг?

 

Реверсинг

 

в книге kaspersky "техника и философия хакерских атак" есть пример
про реверсинг mfc-приложения. кстати, как раз с edit-ами.

http://slil.ru/27957234

 

В данной книге текст получают простым GetWindowText. В мною исследуемой проге GetWindowText, GetDlgItemText, WM_GETTEXT ничего не дает

 

Значит программа считывает ввод по одной клавише во время ее нажатия. А вместо текста подсовывает дезинформацию (например, пустая строка).

 

Как можно найти оконную процедуру?

 

GetWindowLong().

 

IDA pro
OllyDbg
WinDbg
LordPE

В се остальное это всего лишь подобия на качественные иснтерменты.
(Soft-Ice мертв - вечная память........)

 

А сусер?????? Это ж как Ольку надо перепотрашить, шо бы им что то путное отладить?

 

Syser - это глюк глюк и глюк.
Кроме как BSOD или stop kernel особо от него не чего не получиш..... ((

Стоп машина, что не нравится в Ольге, пом не так вполне приличиная дама, куча плагинов, да и немного эвристики имеет.
Вопрос что нельзя отладить??? (кроме ring 0 разумеется)

 

да-да, а из-за него еще драйвер alcohol не работает.

и графический интерфейс. зачем он в отладчике?

 

да ладно вам, на виртуалке очень даже не плохо работает

 

Ухх-х-х! Как на защиту ольки бросился! Я ж говорил, что не вместо ольги, а вместе!

Да, да, да! Я имел ввиду именно нулевое кольцо защиты. Плугины под олю есть, но по мне в ring 0 лучше syser

 

Killer вы частно реверсите ring 0?? IDA pro и то лучше будет чем syser(под vwmare на удаленку) или WinDbg хотя бы не падает.

А для отладки драйверов лучше наверное dbgview.exe.
Hellspawn
Прав в том что под виртуалкой не надо нажимать reset и ждать.