【滴水逆向P77】加载进程(PE查看器)应用程序源码解析
在上一篇文章中讲解了通用控件,做了一个基本的加载进程(PE查看器)的应用程序项目,Win32通用控件,加载进程(PE查看器)项目初步,大家如果有不懂的可以去看看,由于不是很了解Win32编程,所以有很多东西写出来了,但是不是很理解,所以今天专门来写一篇文章来详细了解一下其中使用到的API,函数,宏和结构体。
由于上一篇文章中我们已经讲解了基本的知识,基本知识我们不再讲解,这里给出步骤,并且详细分析每一步中的代码:
1.可视化画出主对话框
可视化界面画出主对话框:上一篇文章中画出来的感觉有点丑,所以重新画了一个。
2. 入口函数
int APIENTRY WinMain(
HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow
) {
hIns = hInstance;
//使用通用控件的向前声明
INITCOMMONCONTROLSEX icex;
icex.dwSize = sizeof(INITCOMMONCONTROLSEX);
icex.dwICC = ICC_WIN95_CLASSES;
InitCommonControlsEx(&icex);
DialogBox(hInstance, MAKEINTRESOURCE(IDD_DIALOG_MAIN), NULL, (DLGPROC)MainDlgProc);
return 0;
}
入口函数很简单,就是加载通用控件,然后调用API显示对话框。
INITCOMMONCONTROLSEX结构体
MSDN官方文档解释INITCOMMONCONSTROLSEX结构体
- 该结构用于传递 从动态链接库加载常见控件类的信息。
- 该结构与
InitCommonControlsEx函数一起使用。 - 结构体原型:
typedef struct tagINITCOMMONCONTROLSEX {
DWORD dwSize;
DWORD dwICC;
} INITCOMMONCONTROLSEX, *LPINITCOMMONCONTROLSEX;
- 参数说明:
- dwSize:指明结构体的大小(以字节为单位)。
- dwICC:指明从动态链接库加载哪些通用控件(以标志指明)。
- 也就是说,想要加载哪个通用控件,就将控件的ID给到参数(dwICC)中。我们知道在计算机中所有的都是以ID作为标志。
InitCommonControlsEx函数
MSDN官方文档解释InitCommonControlsEx函数
- 函数功能:
确保加载公共控件DLL(Comctl32.dll),并从该DLL中注册指定的控件类。 - 函数原型:
BOOL InitCommonControlsEx(
[in] const INITCOMMONCONTROLSEX *picce
);
参数说明:
该参数指向INITCOMMONCONTROLSEX结构体。
因为我们将要加载的控件信息写入了改结构体,所以我们将该结构体指针给到此函数,以加载我们所需要的通用控件。
Comctl32.dll
由于我们需要加载动态链接库中的控件,所以我们需要加载该DLL,该DLL包含了我们所需要的空间信息。
#include 3.编写对话框回调函数
这里先给出代码:
BOOL CALLBACK MainDlgProc(HWND hDlg, UINT uMsg, WPARAM wParam, LPARAM lParam) {
BOOL nRet = FALSE;
switch (uMsg) {
case WM_CLOSE: {
EndDialog(hDlg, 0);
PostQuitMessage(0);
break;
}
case WM_INITDIALOG: {
InitProcessListView(hDlg); //设置ProcessListView的风格,初始化进程列表
InitMoudleListView(hDlg); //设置MoudleListView的风格,初始化模块列表
break;
}
case WM_COMMAND: {
switch (LOWORD(wParam)) {
case IDC_BUTTON_ABOUT: {
DialogBox(hIns, MAKEINTRESOURCE(IDD_ABOUTBOX), NULL, NULL);
}
case IDC_BUTTON_PE: {
//打开新的对话框,PE查看器
return 0;
}
case IDC_BUTTON_OUT: {
EndDialog(hDlg, 0);
PostQuitMessage(0);
return TRUE;
}
}
}
case WM_NOTIFY: {
NMHDR* pNMHDR = (NMHDR*)lParam;
if (wParam == IDC_LIST_PROCESS && pNMHDR->code == NM_CLICK) {
EnumMoudles(GetDlgItem(hDlg, IDC_LIST_PROCESS), wParam, lParam);
}
break;
}
}
return nRet;
}
在回调函数中我们处理了许多消息:
WM_CLOSE消息
MSDN官方文档解释WM_CLOSE消息
#define WM_CLOSE 0x0010
- 发布时间:
窗口或应用程序终止信号。 - 附加信息:
两个附加信息均为使用。
应用程序可以在销毁窗口之前提示用户进行确认,方法是仅当用户确认选择时处理 WM_CLOSE 消息并调用 DestroyWindow 函数。
默认情况下, DefWindowProc 函数调用 DestroyWindow 函数来销毁窗口。
也就是说,通常情况下是系统默认的窗口处理函数来处理该消息。
WM_INITDIALOG消息
MSDN官方文档解释WM_INITDIALOG消息
#define WM_INITDIALOG 0x0110
- 发布时间:
当对话框创建完成,显示之前。 - 附加信息:
- wParam:用于接收默认键盘焦点的控件的句柄
- lParam:其他初始化数据。 在调用 CreateDialogIndirectParam、CreateDialogParam、DialogBoxIndirectParam 或 DialogBoxParam 函数以创建对话框时,此数据作为 lParam 参数传递给系统
我们在这个消息内,也就是对话框显示之前,完成了对进程列表和模块列表的初始化。这两个函数我们后面介绍。
WM_NOTIFY消息
MSDN官方文档解释WM_NOTIFY消息
参数说明:
- wParam:发送消息的通用控件标识符。就是说,是哪个控件发送的消息,wParam中就存储的是哪个控件的标识符。
- lParam:指向包含通知代码和其他信息的NMHDR消息。
实际上WM_NOTIFY消息与WM_COMMAND消息都是发送到父窗口的回调函数,但是WM_NOTIFY包含了比WM_COMMAND更多的信息。
NMHDR结构体
MSDN官方文档解释NMHDR结构体
- 结构体功能:包含有关通知消息的信息。
typedef struct _nmhdr {
HWND hwndFrom;
UINT idFrom;
UINT code;
} NMHDR;
参数解释:
dwndFrom:发送消息的控件窗口句柄。
idFrom:发送消息的控件ID(标识符)。
code:通知代码。
这里我们通知WM_NOTIFY消息的时候,是通过lParam传过来的这个结构体。
判断鼠标点击进程列表操作:
if (wParam == IDC_LIST_PROCESS && pNMHDR->code == NM_CLICK)
我们是通过这个if语句判断鼠标点击操作的。
在WM_NOTIFY消息中,wParam标识了控件ID,lParam指向了NMHDR结构,我们通过NMHDR中code字段判断是否鼠标点击。
我们知道如果是鼠标点击某个进程的话,我们需要将该进程的所有模块加载到模块列表中,我们做出了判断之后,封装函数进行加载模块。
4. 初始化进程列表函数
我们在WM_INITDIALOG消息中调用了该函数进行初始化列表的目录信息:
VOID InitProcessListView(HWND hDlg) {
//设置窗口风格调用结构体
LV_COLUMN lv;
HWND hListProcess;
//初始化
memset(&lv, 0, sizeof(LV_COLUMN));
//获取进程列表句柄
hListProcess = GetDlgItem(hDlg, IDC_LIST_PROCESS);
//设置整行选中
SendMessage(hListProcess, LVM_SETEXTENDEDLISTVIEWSTYLE, LVS_EX_FULLROWSELECT, LVS_EX_FULLROWSELECT);
//出错代码:::::
//SendMessage(hListProcess, LVM_GETEXTENDEDLISTVIEWSTYLE, LVS_EX_FULLROWSELECT, LVS_EX_FULLROWSELECT);
//第一列:
lv.mask = LVCF_TEXT | LVCF_WIDTH | LVCF_SUBITEM;
lv.pszText = (LPWSTR)TEXT("进程"); //列标题
lv.cx = 225; //行宽
lv.iSubItem = 0;
//ListView_InsertColumn(hListProcess,0,&lv);
SendMessage(hListProcess, LVM_INSERTCOLUMN, 0, (DWORD)&lv);
//第二列
lv.pszText = (LPWSTR)TEXT("PID");
lv.cx = 150;
lv.iSubItem = 1;
//ListView_InsertColumn(hListProcess, 1, &lv);
SendMessage(hListProcess, LVM_INSERTCOLUMN, 1, (DWORD)&lv);
//第三列
lv.pszText = (LPWSTR)TEXT("镜像基址");
lv.cx = 134;
lv.iSubItem = 2;
//ListView_InsertColumn(hListProcess, 2, &lv);
SendMessage(hListProcess, LVM_INSERTCOLUMN, 2, (DWORD)&lv);
//第四列
lv.pszText = (LPWSTR)TEXT("镜像大小");
lv.cx = 150;
lv.iSubItem = 3;
//ListView_InsertColumn(hListProcess, 3, &lv);
SendMessage(hListProcess, LVM_INSERTCOLUMN, 3, (DWORD)&lv);
EnumProcess(hListProcess);
}
LVCOLUMN结构体
我们在初始化列表的时候,调用了该结构体:
MSDN官方文档解释LVCOLUMN结构体
typedef struct tagLVCOLUMNA {
UINT mask;
int fmt;
int cx;
LPSTR pszText;
int cchTextMax;
int iSubItem;
int iImage;
int iOrder;
int cxMin;
int cxDefault;
int cxIdeal;
} LVCOLUMNA, *LPLVCOLUMNA;
结构体功能:
包含有关报表视图中列的信息。此结构用于创建和操作列。
参数说明:
msdk:指定包含哪些有效信息。比如说,我们要使用fmt参数,我们就将LVCF_FM给到该参数,那么fmt参数就有效了。
fmt:列标题和列中子项文本对齐方式。上一篇文章的代码中没有使用此字段,这一片文章中将会使用,让标题栏文本居中。
cx:列的宽度(以像素为单位)
pszText:列标题文本字符串的地址。
cchTextMax:指定pszText指向的字符串缓冲区大小。
iSubItem:与列关联的子项的索引。
iImage:映像列表中的图像的从零开始的索引。 指定的图像将显示在列中。
iOrder:从零开始的列偏移量。
cxMin:列的最小宽度(以像素为单位)。
cxDefault: 应用程序定义的值通常用于存储列的默认宽度。
cxIdeal:只读。 列的理想宽度(以像素为单位),因为列当前可能自动调整为较小的宽度。
GetDlgItem函数
MSDN官方文档解释GetDlgItem函数
函数功能:获取指定对话框中控件的句柄。
函数原型:
HWND GetDlgItem(
[in, optional] HWND hDlg,
[in] int nIDDlgItem
);
参数说明:
- hDlg:对话框句柄,我们需要获取哪个对话框中控件的句柄,就把这个对话框的句柄写入
nIDDlgItem:要检索的控件标识符
返回值:函数成功,则返回控件的句柄。
ListView_InsertColumn宏
MSDN官方文档解释ListView_InsertColumn宏
功能:在列表视图控件中加入新列
宏原型:
void ListView_InsertColumn(
hwnd,
iCol,
pcol
);
参数说明:
hwnd:列表视图控件的句柄。
iCol:新列的索引。
pcol:包含指向新列属性的LVCOLUMN结构体指针。
5.初始化模块列表
VOID InitMoudleListView(HWND hDlg) {
//设置窗口风格需要调用结构体
LV_COLUMN lv;
HWND hListMoudles;
//初始化
memset(&lv, 0, sizeof(LV_COLUMN));
//获取模块列表句柄
hListMoudles = GetDlgItem(hDlg, IDC_LIST_MOUDLE);
//设置整行选中
SendMessage(hListMoudles, LVM_SETEXTENDEDLISTVIEWSTYLE, LVS_EX_FULLROWSELECT, LVS_EX_FULLROWSELECT);
//第一列:
lv.mask = LVCF_TEXT | LVCF_WIDTH | LVCF_SUBITEM;
lv.pszText = (LPWSTR)TEXT("模块名称");
lv.cx = 330;
lv.iSubItem = 0;
//ListView_Insertcolumn(hListMoudles,0,&lv);
SendMessage(hListMoudles, LVM_INSERTCOLUMN, 0, (DWORD)&lv);
//第二列:
lv.pszText = (LPWSTR)TEXT("模块位置");
lv.cx = 330;
lv.iSubItem = 1;
SendMessage(hListMoudles, LVM_INSERTCOLUMN, 0, (DWORD)&lv);
}
这段代码使用的函数和宏跟初始化进程的相差不多,这里不做过多赘述。
我们来看看初始化过后的窗口:
5.向列表视图控件中展示数据
由于我们还没有了解加载windows所有进程的API,所以我们先来学习一下如何让列表视图控件中显示数据:
这段代码中是向列表视图控件中加入了假的数据,是我们指定的数据,下一篇文章将会向大家介绍加载Windows所有进程的API:
VOID EnumProcess(HWND hListProcess) {
LV_ITEM vitem;
//初始化,第一个进程
memset(&vitem, 0, sizeof(LV_ITEM));
vitem.mask = LVIF_TEXT;
//假数据:
vitem.pszText = (LPWSTR)TEXT("csrss.exe");
vitem.iItem = 0;
vitem.iSubItem = 0;
//ListView_Insertem(hListProcess,*vitem);
SendMessage(hListProcess, LVM_INSERTITEM, 0, (DWORD)&vitem);
vitem.pszText = (LPWSTR)TEXT("448");
vitem.iItem = 0;
vitem.iSubItem = 1;
SendMessage(hListProcess, LVM_SETITEM, 0, (DWORD)&vitem);
//ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("56590000");
vitem.iItem = 0;
vitem.iSubItem = 2;
ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("000F0000");
vitem.iItem = 0;
vitem.iSubItem = 3;
ListView_SetItem(hListProcess, &vitem);
//第二个进程假数据:
vitem.pszText = (LPWSTR)TEXT("QQ.exe");
vitem.iItem = 1;
vitem.iSubItem = 0;
SendMessage(hListProcess, LVM_INSERTITEM, 0, (DWORD)&vitem);
vitem.pszText = (LPWSTR)TEXT("153");
vitem.iItem = 1;
vitem.iSubItem = 1;
ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("65580000");
vitem.iItem = 1;
vitem.iSubItem = 2;
ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("001E0000");
vitem.iItem = 1;
vitem.iSubItem = 3;
ListView_SetItem(hListProcess, &vitem);
//第三个进程假数据:
vitem.pszText = (LPWSTR)TEXT("WeChat.exe");
vitem.iItem = 2;
vitem.iSubItem = 0;
SendMessage(hListProcess, LVM_INSERTITEM, 0, (DWORD)&vitem);
vitem.pszText = (LPWSTR)TEXT("256");
vitem.iItem = 2;
vitem.iSubItem = 1;
ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("75960000");
vitem.iItem = 2;
vitem.iSubItem = 2;
ListView_SetItem(hListProcess, &vitem);
vitem.pszText = (LPWSTR)TEXT("015B0000");
vitem.iItem = 2;
vitem.iSubItem = 3;
ListView_SetItem(hListProcess, &vitem);
}
LV_ITEM结构体
向列表视图控件中加入数据的时候,我们使用到了该结构体。
MSDN官方文档解释LV_ITEM结构体
结构体用途:用于指定或接收列表视图项的属性。
这个结构和前面的哪个LV_COLUMN结构体很像。实际上就是为了满足各种消息的需求,定义了不同的结构体。
结构体原型:
typedef struct tagLVITEMA {
UINT mask;
int iItem;
int iSubItem;
UINT state;
UINT stateMask;
LPSTR pszText;
int cchTextMax;
int iImage;
LPARAM lParam;
int iIndent;
int iGroupId;
UINT cColumns;
PUINT puColumns;
int *piColFmt;
int iGroup;
} LVITEMA, *LPLVITEMA;
参数说明:
- mask:指定有效的成员,比如我们需要使用pszText字段,就要声明LVIF_TEXT。
iItem:此结构引用的项从零开始的索引。
iSubItem:此结构引用的子项的一个基于索引,如果此结构是引用项而不是子项,则为0。
state:指示项的状态,状态图像和覆盖图像。
stateMask:指定将检索或修改 状态 成员的位的值。
pszText:指向包含结束符文本的字符串。
cchTextMax:pszText指向的缓冲区的大小。
iImage:控件图像列表中的项图标的索引。
lParam:特定于项的值。
iIndent:要缩进项的图像宽度数。。
iGroupId:项所属的组的标识符。
ListView_SetItem宏
MSDN官方文档解释ListView_SetItem宏
宏功能:设置列表视图项的某些或全部属性。
宏原型:
void ListView_SetItem(
hwnd,
pitem
);
参数解释:
- hwnd:列表视图控件的句柄。
- pitem:指向包含项属性的LVITEM结构体。
这里必须得提一句,只有在列表视图控件增添第一行的时候,使用ListView_InsertItem宏,在添加子项的时候,要使用ListView_SetItem宏!!!
如果使用错误,则不能成功添加子项。
向模块列表视图控件中展示数据
VOID EnumMoudles(HWND hListProcess, WPARAM wParam, LPARAM lParam) {
DWORD dwRowId;
TCHAR szPid[21];
LV_ITEM lv;
//初始化
memset(&lv, 0, sizeof(LV_ITEM));
//获取选择行
dwRowId = SendMessage(hListProcess, LVM_GETNEXTITEM,-1 , LVNI_SELECTED);
if (dwRowId == -1) {
MessageBox(NULL, TEXT("请选择进程"), TEXT("出错啦"), MB_OK);
return;
}
//获取PID
lv.iSubItem = 1;
lv.pszText = szPid;
lv.cchTextMax = 0x20;
SendMessage(hListProcess, LVM_GETITEMTEXT, dwRowId, (DWORD)&lv);
MessageBox(NULL, szPid, TEXT("PID"), MB_OK);
}
这里需要注意一点,我们要获取进程使用的模块,必须根据PID来获取,所以当点击进程模块中的项目的时候,要想办法把PID传过来。
函数使用的跟前面的差不多,不做过多赘述了。
我们来看看最后的效果:
