Win32程序入口识别，定位回调函数，具体事件处理的定位，ESP寻址方式，压栈方式复习

news2024/10/6 2:32:42

本专栏上一篇文章带领大家编写了第一个Windows程序，并且带领大家了解了Windows消息机制，如果大家还是不了解的话，可以到我的另一篇专栏中深入学习一下windows消息，Windows消息循环的原理，点击这里就可以查看啦。
我们在逆向别人的程序的时候，首先肯定要找到这个程序的入口，其次，当我们点击了某个按钮的时候，程序（回调函数）到底做了什么事情？程序入口识别，定位回调函数是我们必备的技能。这篇文章来带领大家找一下程序的入口，定位回调函数，并且带领大家了解ESP寻址方式，顺带再来复习一下压栈方式。

文章目录

一.Win32程序入口识别
- 调用约定
二.定位回调函数
三.浅析ESP寻址方式
四.具体事件的处理定位

一.Win32程序入口识别

我们在使用OllyDbg，x64dbg等工具进行动态调试的时候，工具给我们的断点是PE文件结构中的EntryPoint，并不是真正的程序入口，在程序入口和EntryPoint之间，还有很多操作系统需要做的事，而我们很多时候并不需要关心，那我们就来找找真正的程序入口：

我们在编写一个Win32应用程序的时候，我们都会以WinMain函数作为入口点，那么在我们逆向程序的时候，也需要找到这个函数，也就是程序真正的入口了，我们先来复习一下WinMain函数，因为我们定位应用程序入口的时候，就需要WinMain函数的参数来帮助我们定位应用程序入口。

int APIENTRY WinMain(
	HINSTANCE hInstance,
	HINSTANCE hPrevInstance,
	LPSTR lpCmdLine,
	int nShowCmd
);

参数解释：

hInstance：应用程序的当前实例的句柄，我们在程序中接收，输出后发现，其实这个就是ImageBase
hPrevInstance：应用程序的上一个实例的句柄。此参数始终为NULL。
lpCmdLine：应用程序的命令行，不包括程序名称，实际上，我们在启动应用程序的时候，是可以给应用程序传一个参数的，而lpCmdLine就用于接收这个参数，我们一般不会用到。
nShowCmd：控制程序的显示方式。

大家肯能对这里定义主函数前的APIENTRY不太了解，实际上这就是做了一个改名而已，我们来看看：
我们在VS中，选定APIENTRY，F12直接看看它的定义：

APIENTRY

我们发现APIENTRY是对WINAPI改了一个名字，我们追根到底，看看WINAPI到底是什么：

WINAPI

我们发现这里的WINAPI实际上是一种调用约定，我们在讲PE的时候，提到过，这里我也记得不是很清楚了，我们来复习一下几种调用约定：

调用约定

这里讲到的调用约定都是在汇编，C语言中我们常见的调用约定，也是我们逆向的时候最常见到的：

1. _cdecl：
  参数压栈顺序：从左至右入栈
  平衡堆栈方式：调用者自行清理堆栈
1. _sedcall：
  参数压栈顺序：从右至左入栈
  平衡堆栈方式：自身清理堆栈，调用者不用清理堆栈
1. _fastcall:
  参数压栈顺序：ECX/EDX传送前两个参数，剩下的从左至右入栈
  平衡堆栈方式：自身清理堆栈，调用者不用清理堆栈

其中，_fastcall压栈是最快，而且节省内存的一种调用约定（参数不超过2个的时候），而且我们发现，_cdecl这种调用约定和_fastcall是不用我们手动去清理堆栈的。这也就是效率高的原因。

我们知道了WinMian函数需要四个参数，并且其中一个为当前应用程序实例句柄，那么我们就大概知道：在WinMain函数之前，需要获取当前应用程序的实例句柄，我们根据这个，再结合四个参数，就能很容易找到应用程序真正的入口了，而且这个入口离EntryPoint不远：
我们来到OllyDbg中来找一下：

OllyDbg

很明显这里自动断点是EntryPoint，而且是一个call那我们单步一下，看会不会进入这个函数，发现进入了，那我们就需要在这个函数中去找：

我这个程序是进入了，所以我在这个函数中去找：

进入call，往后翻一下，很快就看到了GetModuleHandleW函数，这个函数功能就是获取当前应用程序实例句柄，那么既然第二个参数找到了，应用程序真正的入口也不远了，这里注意找入口的时候严格是4个参数，结合各种汇编代码确定是4个参数，那么这个函数大概率就是入口函数了：

这里我找到的入口函数：

WinMain

这里是压入了四个参数，而且在这个函数中，OllyDbg自动解析出了很多Kener32的函数，所以我确定这个就是应用程序入口函数。

应用程序入口函数

二.定位回调函数

既然我们找到了应用程序入口函数，那么找回调函数就比较容易了：

我们在注册窗口的时候，需要一个窗口类，而这个窗口类中，就包含了回调函数的地址，那么现在我们主要的任务就是找到注册窗口的函数，在注册窗口函数中，我们只传入了一个参数，就是窗口类的指针，那么我们在找到注册窗口函数后，找到这个指针参数，这个指针的第二个成员，就是回调函数地址了，我们跟进去就是回调函数了。

回调函数
可以看到OllyDbg已经帮我们解析出了注册窗口函数，在这个函数之前，只压入了一个参数（eax）那么eax中存的值，肯定就是这个指针了，我们打开数据窗口，将eax指向的地址输入进去，就可以看到窗口类了：

eax
那么第二个成员，就是回调函数地址了，我们跟进去，就是回调函数了。

回调函数

三.浅析ESP寻址方式

这里的ESP寻址方式和EBP寻址方式差不多，但是这里的ESP中存储的地址，会随时变更，所以要根据ESP寻址方式，必须要单步执行到最近的入栈后查看数据。

四.具体事件的处理定位

在找到了回调函数之后，我们就要找具体的事件是怎样处理的了（点击按钮，点击鼠标，按下键盘等动作）。
我们在定义回调函数的时候，传入了4个参数：

LRESULT CALLBACK WindowProc(
	HWND hWnd,
	UINT uMsg,
	WPARAM wParam,
	LPARAM lParam
);

而我们在做消息处理的时候，我们是根据参数uMsg来区分到底是哪种消息的。而uMsg是第二个参数，使用ESP寻址就是[esp+8]，我们直接在回调函数开始的位置下断点即可。
这里如果直接下断点的话，由于Windows消息会很多，所以应用程序会频繁地停在这里，所以我们必须指定条件断点，指定消息，当处理这个消息的时候，断在这里，我们就能清楚地知道，当应用程序收到这个消息的时候，做了哪些处理：

条件断点
这里我指定的是当键盘KEY被按下的时候，程序断在这里：