前言：

最近碰到一个软件，想研究一下它的功能，奈何我对windows mfc 编程完全不懂，所以去网上找了文章学习了一下，下面记录我学习中的一些总结，主要供新手学习使用。

本文主要参考了这篇文章：
https://www.cnblogs.com/h2zZhou/p/10593168.html

请大家先参阅两篇文章，关于其中的知识点我可能不会细讲。
对于MFC逆向，我们主要想知道的是，当我们执行某个操作（点击某个按钮）的时候，程序会执行什么处理函数。
在mfc中，程序是使用消息机制来实现操作响应的，这个是消息映射表的代码：

struct AFX_MSGMAP{
    AFX_MSGMAP * pBaseMessageMap;
    AFX_MSGMAP_ENTRY * lpEntries;
}
struct AFX_MSGMAP_ENTRY{
    UINT nMessage;    //Windows Message
    UINT nCode        //Control code or WM_NOTIFY code
    UINT nID;         //control ID (or 0 for windows messages)
    UINT nLastID;     //used for entries specifying a range of control id's
    UINT nSig;        //signature type(action) or pointer to message 
    AFX_PMSG pfn;     //routine to call (or specical value)
}

具体含义请查看参考文章。
其中nID是一个关键的成员变量，它表示的是控件对应的ID，这个在一个程序中是独一无二的，而pfn是一个函数指针，它指向该控件对应的处理函数。

寻找消息处理函数的方法

利用idc脚本搜索AFX_MSGMAP
这种方法可能搜索不到，它只能搜索到类似这种内存分布的

image.png

但是在我实际的逆向过程中，发现有许多的消息映射表的内存分布是这样的：

image.png

这样子使用参考文章中的脚本就搜索不出来了，因此这种方法不太实用。

通过函数调用去查找，在参考文章中提到，是使用动态调试的方法寻找，函数路径如下：
CWnd::WindowProc -> Cwnd::OnWndMsg(有时候IDA能直接识别这个函数) -> GetMessageMap
关于这种方法，确实能找到消息映射表，但是有一点需要注意：在一个程序中可能有多个消息表，而这些表会被遍历初始化获取，所以需要在GetMessageMap函数处下断点，多次运行遍历来获得所有的消息映射表；
实际上还有一种更加简单的方法可以获取逆向找的消息函数，首先获取控件ID后，我们可以利用IDA的搜索功能，举个例子：
我们首先使用ResourceHacker获取控件的ID：

image.png

我们这里要找的控件ID是1021，它的十六进制是0x3fd，我们利用IDA Search菜单里的查找字节功能(Alt + B)：

image.png

找到对应的所有序列之后，查看在.rdata段中的所有匹配项:

image.png

遍历这些项，能看到类似下图的结构：

image.png

这个结构的特点是前面一个函数的偏移地址，后面一个函数的偏移地址，类似这样的基本都是AFX_MSGMAP_ENTRY结构体，因此我们利用定义结构体的功能就可以把它转成消息映射表了：

struct AFX_MSGMAP_ENTRY{
    UINT nMessage;    //Windows Message
    UINT nCode        //Control code or WM_NOTIFY code
    UINT nID;         //control ID (or 0 for windows messages)
    UINT nLastID;     //used for entries specifying a range of control id's
    UINT nSig;        //signature type(action) or pointer to message 
    AFX_PMSG pfn;     //routine to call (or specical value)
}

我们在上一个函数偏移地址后的第一个数据处进行转换，具体怎么转换请看参考文章：