总结一下各种语言按纽事件的找法(文字篇)
总结一下各种语言按纽事件的找法(文字篇)本文可以和那个演示动画一起看,加深理解
其实也算是炒冷饭,不过我把各种语言都总结了下,算是笔记也好,算是方便新手也好,呵呵~
调试软件,最重要的就是下断点,那么如何下断点,就是一门重要的技巧.
比如:弹提示框,就下MessageBoxA,注册表的,就下RegOpenKeyA等等.
当然,能直接下到按纽事件,当然更为方便,因为到了按纽事件后,很快就会到达核心代码,离你的破解也就不远了.
本文就总结一下各类语言找按纽事件的方法,当然也可以借助工具,如VBexplorer,DEDE,ECE等等.
一、VB程序
其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!
OD载入后,CTRL+B,816C24
http://www.52pojie.cn/attachments/Mon_0809/5_6636_2ffc3b3e45c6363.gif
确定后,就会来到下图处:
http://www.52pojie.cn/attachments/Mon_0809/5_6636_7bd3b1444f02ed5.gif
然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就继续下断点.
http://www.52pojie.cn/attachments/Mon_0809/5_6636_b4f49fffde5995f.gif
下完断点后,运行程序,点击相应的按纽,OD就会断下来了
下面的任务就是考验大家的耐心,F8跟踪吧,不再赘述了.
当然,为了方便大家,可以写个简单的脚本,免的每次都去手动设置了,节省时间:
var Addr
mov Addr,401000
loop:
find Addr,#816C2404??000000#
cmp $RESULT,0
je Exit
add $RESULT,08
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
eval "按纽事件查找完毕!"
msg $RESULT
ret
复制代码
二、Delphi和BC++程序
Delphi和BC++都是同一公司开发的,故查找方法都一样,当然你也可以使用DEDE.
OD载入后,CTRL+G,转到00401000处
然后就CTRL+B,查找特征码740E8BD38B83????????FF93????????
http://www.52pojie.cn/attachments/Mon_0809/5_6636_101590e40537a86.gif
然后就会找到下面的地方:
http://www.52pojie.cn/attachments/Mon_0809/5_6636_877d9e5adc6eb26.gif然后就在下面的CALL处下断吧.
下面的工作就是不断的CTRL+L继续查找和F2下断了.
运行下看看效果吧:
http://www.52pojie.cn/attachments/Mon_0809/5_6636_d2026772cc874a4.gif看,断下了吧,下面就F7跟进这个CALL吧,就来到这个按纽事件处了.
同样写个脚本,方便大家操作:
var Addr
mov Addr,401000
loop:
find Addr,#740E8BD38B83????????FF93????????#
cmp $RESULT,0
je Exit
add $RESULT,0A
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
ret
复制代码
三、易语言
易语言的这种查找方法,同样适合有壳的程序,其他的就必须脱壳后再继续操作了.
OD载入后,就F9运行程序吧,当程序运行后,ALT+E
选中易语言的核心库krnln,双击进去
http://www.52pojie.cn/attachments/Mon_0809/5_6636_64ac20cf25dd6b3.gif
然后CTRL+B,查找FF 55 FC
http://www.52pojie.cn/attachments/Mon_0809/5_6636_5fe7755381ba822.gif
查找到的这个CALL就是了,F2下断吧
现在输入必须的内容后,单击对应的按纽吧
http://www.52pojie.cn/attachments/Mon_0809/5_6636_2ad3a1c788455b8.gif
看,断下了吧,下面就F7跟进吧,就来到按纽事件处了
同样,写个脚本,方便大家
gpa"GetProcessHeap","kernel32.dll"
cmp $RESULT,0
je err
bp $RESULT
run
run
run
bc $RESULT
rtu
find 10001000,#FF55FC5F5E895D??8945#
bp $RESULT
find eip,#FFE0#
cmp$RESULT,0
je err
bp $RESULT
run
bc $RESULT
sto
MSG "按纽事件查找完毕!"
ret
err:
MSG "脚本运行错误!请检查错误后再继续运行脚本!"
ret
复制代码
四、VC++程序(非MFC程序)
OD载入后,单击鼠标右键,选择"查找",然后是"所有命令"
在弹出的输入框里,写入特征代码"sub eax,0a"
http://www.52pojie.cn/attachments/Mon_0809/5_6636_9b49bb02eb4e719.gif
确定后,就来到下面的窗口
http://www.52pojie.cn/attachments/Mon_0809/5_6636_50b2e80d6e88f84.gif
在下面的sub eax,0A处,双击进去吧:
http://www.52pojie.cn/attachments/Mon_0809/5_6636_d364fada01833de.gif
来找这里后,在下面的je处跟随过去
http://www.52pojie.cn/attachments/Mon_0809/5_6636_064c17be0b81f85.gif
跟随来到的这个CALL,就是了,F2下断吧
然后断下后,F7跟进,F8几次,就来到按纽事件了.
五、MFC类程序
当然判断MFC和非MFC的程序,靠大家自己去判断了
OD载入后.ALT+E,来到可执行模块,找MFC的核心DLL:MFC42
然后就双击进去
http://www.52pojie.cn/attachments/Mon_0809/5_6636_e6465883ac4d8db.gif
然后就CTRL+F,查找特征代码:sub eax,0a
http://www.52pojie.cn/attachments/Mon_0809/5_6636_188481170a63dcb.gif
同样,找到后,就在下面的je处跟随,跟随后看到的CALL,就是那个关键CALL了!
http://www.52pojie.cn/attachments/Mon_0809/5_6636_e7b0904e6a9a0a8.gif
断下后F7跟进,F8几次,就会来到按纽事件代码处了!
方法就简单的介绍到这里了,当然只是抛砖引玉,其他的,还得多靠大家自己慢慢总结吧!
[ 本帖最后由 freewold 于 2009-10-24 11:08 编辑 ] 总结得很详细,受教了! 学习了.. 只知道这个东西好,有用,可惜还不太懂呢。
先谢谢老师了,以后多学,早晚会明白的。
鼠标右键里的选项算不算按钮事件?算了不想了。 脚本具体怎么用啊,复制到剪切板就自动好了???还是建个文本什么的?? 感谢lz分享,学习了 总结的很强大,适合我们这些新人 学习了~~~~~~ 新人学习了 学习中,学习中~~~~
页:
[1]
2