【滴水逆向P77】加载进程(PE查看器)应用程序源码解析(上)

简介: 【滴水逆向P77】加载进程(PE查看器)应用程序源码解析

在上一篇文章中讲解了通用控件,做了一个基本的加载进程(PE查看器)的应用程序项目,Win32通用控件,加载进程(PE查看器)项目初步,大家如果有不懂的可以去看看,由于不是很了解Win32编程,所以有很多东西写出来了,但是不是很理解,所以今天专门来写一篇文章来详细了解一下其中使用到的API,函数,宏和结构体。

由于上一篇文章中我们已经讲解了基本的知识,基本知识我们不再讲解,这里给出步骤,并且详细分析每一步中的代码:

1.可视化画出主对话框

可视化界面画出主对话框:上一篇文章中画出来的感觉有点丑,所以重新画了一个。

2. 入口函数

int APIENTRY WinMain(
  HINSTANCE hInstance,
  HINSTANCE hPrevInstance,
  LPSTR lpCmdLine,
  int nCmdShow
) {
  hIns = hInstance;
  //使用通用控件的向前声明
  INITCOMMONCONTROLSEX icex;
  icex.dwSize = sizeof(INITCOMMONCONTROLSEX);
  icex.dwICC = ICC_WIN95_CLASSES;
  InitCommonControlsEx(&icex);
  DialogBox(hInstance, MAKEINTRESOURCE(IDD_DIALOG_MAIN), NULL, (DLGPROC)MainDlgProc);
  return 0;
}

入口函数很简单,就是加载通用控件,然后调用API显示对话框。

INITCOMMONCONTROLSEX结构体

MSDN官方文档解释INITCOMMONCONSTROLSEX结构体

  • 该结构用于传递 从动态链接库加载常见控件类的信息。
  • 该结构与InitCommonControlsEx函数一起使用。
  • 结构体原型:
typedef struct tagINITCOMMONCONTROLSEX {
  DWORD dwSize;
  DWORD dwICC;
} INITCOMMONCONTROLSEX, *LPINITCOMMONCONTROLSEX;
  • 参数说明:
  • dwSize:指明结构体的大小(以字节为单位)。
  • dwICC:指明从动态链接库加载哪些通用控件(以标志指明)。
  • 也就是说,想要加载哪个通用控件,就将控件的ID给到参数(dwICC)中。我们知道在计算机中所有的都是以ID作为标志。

InitCommonControlsEx函数

MSDN官方文档解释InitCommonControlsEx函数

  • 函数功能:
    确保加载公共控件DLL(Comctl32.dll),并从该DLL中注册指定的控件类。
  • 函数原型:
BOOL InitCommonControlsEx(
  [in] const INITCOMMONCONTROLSEX *picce
);

参数说明:

该参数指向INITCOMMONCONTROLSEX结构体。

因为我们将要加载的控件信息写入了改结构体,所以我们将该结构体指针给到此函数,以加载我们所需要的通用控件。

Comctl32.dll

由于我们需要加载动态链接库中的控件,所以我们需要加载该DLL,该DLL包含了我们所需要的空间信息。

#include <CommCtrl.h>
#pragma comment(lib,"comctl32.lib")
• 1
• 2

3.编写对话框回调函数

这里先给出代码:

BOOL CALLBACK MainDlgProc(HWND hDlg, UINT uMsg, WPARAM wParam, LPARAM lParam) {
  BOOL nRet = FALSE;
  switch (uMsg) {
    case WM_CLOSE: {
      EndDialog(hDlg, 0);
      PostQuitMessage(0);
      break;
    }
    case WM_INITDIALOG: {
      InitProcessListView(hDlg);         //设置ProcessListView的风格,初始化进程列表
      InitMoudleListView(hDlg);          //设置MoudleListView的风格,初始化模块列表
      break;
    }
    case WM_COMMAND: {
      switch (LOWORD(wParam)) {
        case IDC_BUTTON_ABOUT: {
          DialogBox(hIns, MAKEINTRESOURCE(IDD_ABOUTBOX), NULL, NULL);
        }
        case IDC_BUTTON_PE: {
          //打开新的对话框,PE查看器
          return 0;
        }
        case IDC_BUTTON_OUT: {
          EndDialog(hDlg, 0);
          PostQuitMessage(0);
          return TRUE;
        }
      }
    }
    case WM_NOTIFY: {
      NMHDR* pNMHDR = (NMHDR*)lParam;
      if (wParam == IDC_LIST_PROCESS && pNMHDR->code == NM_CLICK) {
        EnumMoudles(GetDlgItem(hDlg, IDC_LIST_PROCESS), wParam, lParam);
      }
      break;
    }
  }
  return nRet;
}

在回调函数中我们处理了许多消息:

WM_CLOSE消息

MSDN官方文档解释WM_CLOSE消息

#define WM_CLOSE                        0x0010
  • 发布时间:
    窗口或应用程序终止信号。
  • 附加信息:
    两个附加信息均为使用。

应用程序可以在销毁窗口之前提示用户进行确认,方法是仅当用户确认选择时处理 WM_CLOSE 消息并调用 DestroyWindow 函数。

默认情况下, DefWindowProc 函数调用 DestroyWindow 函数来销毁窗口。

也就是说,通常情况下是系统默认的窗口处理函数来处理该消息。

WM_INITDIALOG消息

MSDN官方文档解释WM_INITDIALOG消息

#define WM_INITDIALOG                   0x0110
• 1
  • 发布时间:
    当对话框创建完成,显示之前。
  • 附加信息:
  • wParam:用于接收默认键盘焦点的控件的句柄
  • lParam:其他初始化数据。 在调用 CreateDialogIndirectParam、CreateDialogParam、DialogBoxIndirectParam 或 DialogBoxParam 函数以创建对话框时,此数据作为 lParam 参数传递给系统

我们在这个消息内,也就是对话框显示之前,完成了对进程列表和模块列表的初始化。这两个函数我们后面介绍。

WM_NOTIFY消息

MSDN官方文档解释WM_NOTIFY消息

参数说明:

  • wParam:发送消息的通用控件标识符。就是说,是哪个控件发送的消息,wParam中就存储的是哪个控件的标识符。
  • lParam:指向包含通知代码和其他信息的NMHDR消息。

实际上WM_NOTIFY消息与WM_COMMAND消息都是发送到父窗口的回调函数,但是WM_NOTIFY包含了比WM_COMMAND更多的信息。

NMHDR结构体

MSDN官方文档解释NMHDR结构体

  • 结构体功能:包含有关通知消息的信息。
typedef struct _nmhdr {
  HWND hwndFrom;
  UINT idFrom;
  UINT code;
} NMHDR;

参数解释:

dwndFrom:发送消息的控件窗口句柄。

idFrom:发送消息的控件ID(标识符)。

code:通知代码。

这里我们通知WM_NOTIFY消息的时候,是通过lParam传过来的这个结构体。

判断鼠标点击进程列表操作:

if (wParam == IDC_LIST_PROCESS && pNMHDR->code == NM_CLICK)
• 1

我们是通过这个if语句判断鼠标点击操作的。

在WM_NOTIFY消息中,wParam标识了控件ID,lParam指向了NMHDR结构,我们通过NMHDR中code字段判断是否鼠标点击。

我们知道如果是鼠标点击某个进程的话,我们需要将该进程的所有模块加载到模块列表中,我们做出了判断之后,封装函数进行加载模块。

4. 初始化进程列表函数

我们在WM_INITDIALOG消息中调用了该函数进行初始化列表的目录信息:

VOID InitProcessListView(HWND hDlg) {
  //设置窗口风格调用结构体
  LV_COLUMN lv;
  HWND hListProcess;
  //初始化
  memset(&lv, 0, sizeof(LV_COLUMN));
  //获取进程列表句柄
  hListProcess = GetDlgItem(hDlg, IDC_LIST_PROCESS);
  //设置整行选中
  SendMessage(hListProcess, LVM_SETEXTENDEDLISTVIEWSTYLE, LVS_EX_FULLROWSELECT, LVS_EX_FULLROWSELECT);
  //出错代码:::::
  //SendMessage(hListProcess, LVM_GETEXTENDEDLISTVIEWSTYLE, LVS_EX_FULLROWSELECT, LVS_EX_FULLROWSELECT);
  //第一列:
  lv.mask = LVCF_TEXT | LVCF_WIDTH | LVCF_SUBITEM;
  lv.pszText = (LPWSTR)TEXT("进程");           //列标题
  lv.cx = 225;             //行宽
  lv.iSubItem = 0;
  //ListView_InsertColumn(hListProcess,0,&lv);
  SendMessage(hListProcess, LVM_INSERTCOLUMN, 0, (DWORD)&lv);
  //第二列
  lv.pszText = (LPWSTR)TEXT("PID");
  lv.cx = 150;
  lv.iSubItem = 1;
  //ListView_InsertColumn(hListProcess, 1, &lv);
  SendMessage(hListProcess, LVM_INSERTCOLUMN, 1, (DWORD)&lv);
  //第三列
  lv.pszText = (LPWSTR)TEXT("镜像基址");
  lv.cx = 134;
  lv.iSubItem = 2;
  //ListView_InsertColumn(hListProcess, 2, &lv);
  SendMessage(hListProcess, LVM_INSERTCOLUMN, 2, (DWORD)&lv);
  //第四列
  lv.pszText = (LPWSTR)TEXT("镜像大小");
  lv.cx = 150;
  lv.iSubItem = 3;
  //ListView_InsertColumn(hListProcess, 3, &lv);
  SendMessage(hListProcess, LVM_INSERTCOLUMN, 3, (DWORD)&lv);
  EnumProcess(hListProcess);
}

LVCOLUMN结构体

我们在初始化列表的时候,调用了该结构体:

MSDN官方文档解释LVCOLUMN结构体

typedef struct tagLVCOLUMNA {
  UINT  mask;
  int   fmt;
  int   cx;
  LPSTR pszText;
  int   cchTextMax;
  int   iSubItem;
  int   iImage;
  int   iOrder;
  int   cxMin;
  int   cxDefault;
  int   cxIdeal;
} LVCOLUMNA, *LPLVCOLUMNA;

结构体功能:

包含有关报表视图中列的信息。此结构用于创建和操作列。

参数说明:

msdk:指定包含哪些有效信息。比如说,我们要使用fmt参数,我们就将LVCF_FM给到该参数,那么fmt参数就有效了。

fmt:列标题和列中子项文本对齐方式。上一篇文章的代码中没有使用此字段,这一片文章中将会使用,让标题栏文本居中。

cx:列的宽度(以像素为单位)

pszText:列标题文本字符串的地址。

cchTextMax:指定pszText指向的字符串缓冲区大小。

iSubItem:与列关联的子项的索引。

iImage:映像列表中的图像的从零开始的索引。 指定的图像将显示在列中。

iOrder:从零开始的列偏移量。

cxMin:列的最小宽度(以像素为单位)。

cxDefault: 应用程序定义的值通常用于存储列的默认宽度。

cxIdeal:只读。 列的理想宽度(以像素为单位),因为列当前可能自动调整为较小的宽度。

目录
打赏
0
0
0
0
1
分享
相关文章
安全监控系统:技术架构与应用解析
该系统采用模块化设计,集成了行为识别、视频监控、人脸识别、危险区域检测、异常事件检测、日志追溯及消息推送等功能,并可选配OCR识别模块。基于深度学习与开源技术栈(如TensorFlow、OpenCV),系统具备高精度、低延迟特点,支持实时分析儿童行为、监测危险区域、识别异常事件,并将结果推送给教师或家长。同时兼容主流硬件,支持本地化推理与分布式处理,确保可靠性与扩展性,为幼儿园安全管理提供全面解决方案。
154 3
HarmonyOS Next~鸿蒙应用框架开发实战:Ability Kit与Accessibility Kit深度解析
本书深入解析HarmonyOS应用框架开发,聚焦Ability Kit与Accessibility Kit两大核心组件。Ability Kit通过FA/PA双引擎架构实现跨设备协同,支持分布式能力开发;Accessibility Kit提供无障碍服务构建方案,优化用户体验。内容涵盖设计理念、实践案例、调试优化及未来演进方向,助力开发者打造高效、包容的分布式应用,体现HarmonyOS生态价值。
190 27
深入理解HTTP/2:nghttp2库源码解析及客户端实现示例
通过解析nghttp2库的源码和实现一个简单的HTTP/2客户端示例,本文详细介绍了HTTP/2的关键特性和nghttp2的核心实现。了解这些内容可以帮助开发者更好地理解HTTP/2协议,提高Web应用的性能和用户体验。对于实际开发中的应用,可以根据需要进一步优化和扩展代码,以满足具体需求。
395 29
深入探索 BPMN、CMMN 和 DMN:从定义到应用的全方位解析
在当今快速变化的商业环境中,对象管理组织(OMG)推出了三种强大的建模标准:BPMN(业务流程模型和符号)、CMMN(案例管理模型和符号)和DMN(决策模型和符号)。它们分别适用于结构化流程管理、动态案例处理和规则驱动的决策制定,并能相互协作,覆盖更广泛的业务场景。BPMN通过直观符号绘制固定流程;CMMN灵活管理不确定的案例;DMN以表格形式定义清晰的决策规则。三者结合可优化企业效率与灵活性。 [阅读更多](https://example.com/blog)
深入探索 BPMN、CMMN 和 DMN:从定义到应用的全方位解析
阿里云服务器ECS通用型规格族解析:实例规格、性能基准与场景化应用指南
作为ECS产品矩阵中的核心序列,通用型规格族以均衡的计算、内存、网络和存储性能著称,覆盖从基础应用到高性能计算的广泛场景。通用型规格族属于独享型云服务器,实例采用固定CPU调度模式,实例的每个CPU绑定到一个物理CPU超线程,实例间无CPU资源争抢,实例计算性能稳定且有严格的SLA保证,在性能上会更加稳定,高负载情况下也不会出现资源争夺现象。本文将深度解析阿里云ECS通用型规格族的技术架构、实例规格特性、最新价格政策及典型应用场景,为云计算选型提供参考。
可穿戴设备如何重塑医疗健康:技术解析与应用实战
可穿戴设备如何重塑医疗健康:技术解析与应用实战
153 4
Javaweb之Mybatis入门程序的详细解析
本文详细介绍了一个MyBatis入门程序的创建过程,从环境准备、Maven项目创建、MyBatis配置、实体类和Mapper接口的定义,到工具类和测试类的编写。通过这个示例,读者可以了解MyBatis的基本使用方法,并在实际项目中应用这些知识。
121 11
JS数组操作方法全景图,全网最全构建完整知识网络!js数组操作方法全集(实现筛选转换、随机排序洗牌算法、复杂数据处理统计等情景详解,附大量源码和易错点解析)
这些方法提供了对数组的全面操作,包括搜索、遍历、转换和聚合等。通过分为原地操作方法、非原地操作方法和其他方法便于您理解和记忆,并熟悉他们各自的使用方法与使用范围。详细的案例与进阶使用,方便您理解数组操作的底层原理。链式调用的几个案例,让您玩转数组操作。 只有锻炼思维才能可持续地解决问题,只有思维才是真正值得学习和分享的核心要素。如果这篇博客能给您带来一点帮助,麻烦您点个赞支持一下,还可以收藏起来以备不时之需,有疑问和错误欢迎在评论区指出~
DeepSeek大模型在客服系统中的应用场景解析
在数字化浪潮下,客户服务领域正经历深刻变革,AI技术成为提升服务效能与体验的关键。DeepSeek大模型凭借自然语言处理、语音交互及多模态技术,显著优化客服流程,提升用户满意度。它通过智能问答、多轮对话引导、多模态语音客服和情绪监测等功能,革新服务模式,实现高效应答与精准分析,推动人机协作,为企业和客户创造更大价值。
421 5

推荐镜像

更多
  • DNS
  • AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等

    登录插画

    登录以查看您的控制台资源

    管理云资源
    状态一览
    快捷访问