OllyDbg学习---深入理解消息驱动原理（2）

转自:http://blog.sina.com.cn/s/blog_61d65e360100lgtf.html

    笔者先要申明，这节知识都是笔者根据自己的知识积累和观察做出的猜测。既然是猜测，那么肯定有不准确的地方。不过笔者还是对自己的推论和猜测很有信心。同时感谢我的搭档刘飞，关于这节内容，我们俩经过了比较深入的讨论，最后一致感觉就现在的想法比较的合理，比较的说得通。因此我写出来与大家分享。

    Windows内核是靠IRP来驱动，而Windows窗口应用程序靠的就是消息来驱动。所谓的消息驱动其意思就是靠消息作为纽带来运作。

    需要注意的是，一个窗口只能对应一个线程，用VC编写过应用程序的读者肯定对消息循环的while语句再熟悉不过，这个循环语句其实就是个死循环，这样这个窗口线程永远不会退出除非接收到WM_QUIT消息。

    这里涉及到几个和消息有关的函数，分别是GetMessage，TranslateMessage，DispatchMessage

    另外涉及几个和默认窗口过程有关的函数，分别是DefDlgProcA，DefWindowProc，DefMDIChildProc，DefFrameProc

    现在读者肯定迫不及待的会问，这节和OD的学习有必然联系么？！！我很负责的告诉你，有！因为OD中会涉及到下消息断点。我们必须了解消息驱动原理。不然，笔者绝对相信你会很茫然看到突然中断到一个陌生的地方，而这个地方的代码你完全不晓得是干什么的。

    我们开始。我们运行一个程序，最外面的大框架是一个窗口，其内部的按钮，文本框等等也都是窗口。需要注意的是，我们最熟悉不过的那个最外层窗口有消息循环。内部的按钮，文本框却没有消息循环！也就是说，最外层的窗口对应一个线程，而里面的按钮，文本框等等所有的“子窗口”都不会有线程与其对应，这些“子窗口”对应的回调函数将来都运行在“父窗口”的线程上下文中，定位更准确点的话应该说是运行在DispatchMessage函数上下文中。

    笔者先来描述下关于消息的整个过程。

    1，每个窗口都会对应一个线程，并且一个线程有且只能和一个窗口绑定，如果某个线程和窗口进行绑定，那么系统就再会为这个线程准备一个消息队列。如果此线程没有和窗口绑定，那么就是一个普通的线程，系统也不会多此一举为他加上消息列队

    2，系统会维护一种信息，此信息记录了屏幕上所有的窗口（包括按钮，文本框等等）的区域的坐标范围。并且还会为这些窗口编上号，这些编号就是窗口句柄。需要注意的是，句柄这个东西没有准确的定义，根据情况的不同而不同，具体我下一节来介绍。拿鼠标为例，当你按下鼠标，系统就会捕获此时此刻鼠标被按下时的坐标，再查看鼠标指针坐标落在哪个窗口的区域范围内。这样一来系统就会知道哪个按钮被按下，同时系统会构建一个消息数据结构

     Type MSG
       hwnd As Long       这个里面的值就是此窗口的句柄（鼠标坐标落在其内）
       message As Long     此时此刻应该是 WM_LBUTTONDOWN
       lParam As Long    
       time As Long             
       pt As POINTAPI    坐标，就是鼠标被按下时指针的坐标
    End Type

 并且会把这个结构放入系统消息列队里。

   3，每个绑定了窗口的线程都会通过GetMessage函数从系统消息列队中取出消息，其判断依据就是窗口句柄和坐标，如果发现系统列队中某个消息的窗口句柄对应的窗口包含在自身范围内，那么就拿过来。如果不包含在自身内，那么就无视。

   4，TranslateMessage的作用是把接收过来的消息加工一下，比如说把WM_KEYDOWN和WM_KEYUP消息组合成一起称为WM_CHAR消息。

   5，接下来就是DispatchMessage函数，这个函数非常的重要，首先，和上面2个函数一样，他们都存在于USER32.DLL中。此函数会分析得到的消息的结构从而得到此结构第一个参数值（窗口句柄），并且调用此按钮的默认回调函数。说要说明的是，由于按钮，文本框等控件对于程序开发人员来说都是很常用的并且这些控件的功能往往是固定，不会有特别稀奇古怪的附加功能，因此这些控件的回调函数也就可以固定下来，微软想法和我一样，同时，微软为了节约程序员的负担干脆把这些回调函数封装起来并固定存放在USER32.DLL中。需要注意的是，这些函数是非导出函数，除非你用OD跟踪，不然你还确实无法知道此回调函数在哪。这当然是后话。

   6,从上面的描述你可以发现，像按钮这样的控件，其对应的回调函数已经固化在USER32.DLL中，那么DispatchMessage函数就去调用这个函数。

   7，我们还知道，其实按钮这些东西都是作为资源存在于PE结构中，就某个按钮而言，你在写程序的时候也仅仅描述了以下几个信息，首先是明确表示你描述的东东的确是个按钮，其次就是按钮的坐标，其他几乎没有做任何描述，你并没有告诉系统此按钮的回调函数。系统是这样工作的：当程序运行的时候，系统要分析PE结构里所有的资源，通过资源里的描述得到具体的信息，拿按钮资源为例，当系统通过PE得到这个按钮的信息之后就会在内核中构建这个按钮的内核对象，此内核对象里的某个成员变量就会指向USER32.DLL里的某个地址，这个地址就是按钮的默认回调函数的首地址，以上这个步骤是系统自动完成的。当然，此按钮的内核对象里还会包含其他一些信息，比如坐标，资源号什么的。也就是因为按钮的内核对象里包含了回调函数的首地址，所以DispatchMessage函数才能调用！不然DispatchMessage函数压根不会知道从哪获取按钮回调函数的首地址！

   8，你可以发现，当你下鼠标断点之后按F9，再尝试按下某个按钮后都会中断在USER32领空的某个代码处。你反汇编USER32后会发现这段代码并没有导出函数与其对应。所以可以判断按钮的默认回调函数的确没有被导出且确实存在于USER32库里。按钮的回调函数要做的是获得WM_LBUTTONDOWN消息并且分析之，随后生成WM_COMMAND消息（带上BN_CLICKED参数和本按钮的句柄）发送给主窗口的线程消息列队中，之后GetMessage得到这个WM_COMMAND消息并通过DispatchMessage函数调用主窗口的默认回调函数来处理这样一个消息，处理好了之后生成WM_COMMAND（带上按钮资源号）的消息再次发到主窗口的消息列队中。接下来DispatchMessage函数调用的将会是用户定义好了的窗口过程函数。这样一来按钮和主窗口的联系就建立了。

  好了，这就是消息循环的细节。下节开始介绍句柄。

后记:

子窗体和父窗体的关系：

子窗体被触发时，向父窗体发送一个WM_COMMAND消息，父窗体的窗口函数处理这个消息，进行 相关的处理。lParam表示子窗口句柄，LOWORD(wParam)表示子窗口ID，HIWORD (wParam)表示通知码（例如单击，双击，SETFOCUS等）。