Win32窗口相关API反汇编-蒲公英云

Win32窗口相关API反汇编

1、Win32应用程序入口识别

/*程序入口*/
//APIENTRY(API入口) __stdcall
int APIENTRY WinMain(HINSTANCE hInstance, //ImageBase
    HINSTANCE hPrevInstance, //NULL
    LPSTR lpCmdLine, //命令行参数，可以用Debug版打印，也可以使用Release版使用Dbgview.exe查看
    int nCmdShow) //指定程序窗口如何显示

看到KERNEL32.GetVersion GetCommandLineA后继续往下找，找到GetModuleHandleA位置可能是为第一个参数准备参数，往下走就能看到与程序同名的函数跟进入就可以发现有四个参数。

2、ESP寻址的特点

很多时候call函数后，第一步并不是保存栈底，而是直接使用ESP寻址，EBP的位置就是函数调用返回的位置。开辟栈的大小就加到了ESP的位置，即ESP - (num / 4) = EBP。[ESP - num / 4 + 4]就是第一个参数的位置，也就是Debug版本的EBP + 8的位置。

3、窗口回调函数的定位

TCHAR className[] = TEXT("My First Window");
    //创建一个自己的窗口
    WNDCLASS wndclass = { 0 }; //即使不用的参数也要赋值为0，否则窗口创建不出来
    wndclass.hbrBackground = (HBRUSH)COLOR_MENU;    //窗口的背景色        
    wndclass.lpfnWndProc = WindowProc;    //窗口过程函数        
    wndclass.lpszClassName = className;    //窗口类的名字        
    wndclass.hInstance = hInstance;    //定义窗口类的应用程序的实例句柄        
    /*
    typedef struct tagWNDCLASSW {
    UINT        style;
    WNDPROC     lpfnWndProc; * 2
    int         cbClsExtra;
    int         cbWndExtra;
    HINSTANCE   hInstance; * 5
    HICON       hIcon;
    HCURSOR     hCursor;
    HBRUSH      hbrBackground; * 8
    LPCWSTR     lpszMenuName;
    LPCWSTR     lpszClassName; * 10
} WNDCLASSW, *PWNDCLASSW, NEAR *NPWNDCLASSW, FAR *LPWNDCLASSW;
    */
    //注册窗口
    RegisterClass(&wndclass);