- UID
- 6804
注册时间2006-1-11
阅读权限30
最后登录1970-1-1
龙战于野
该用户从未签到
|
总结一下各种语言按纽事件的找法(文字篇)
本文可以和那个演示动画一起看,加深理解
其实也算是炒冷饭,不过我把各种语言都总结了下,算是笔记也好,算是方便新手也好,呵呵~
调试软件,最重要的就是下断点,那么如何下断点,就是一门重要的技巧.
比如:弹提示框,就下MessageBoxA,注册表的,就下RegOpenKeyA等等.
当然,能直接下到按纽事件,当然更为方便,因为到了按纽事件后,很快就会到达核心代码,离你的破解也就不远了.
本文就总结一下各类语言找按纽事件的方法,当然也可以借助工具,如VBexplorer,DEDE,ECE等等.
一、VB程序
其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!
OD载入后,CTRL+B,816C24
确定后,就会来到下图处:
然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就继续下断点.
下完断点后,运行程序,点击相应的按纽,OD就会断下来了
下面的任务就是考验大家的耐心,F8跟踪吧,不再赘述了.
当然,为了方便大家,可以写个简单的脚本,免的每次都去手动设置了,节省时间:
var Addr
mov Addr,401000
loop:
find Addr,#816C2404??000000#
cmp $RESULT,0
je Exit
add $RESULT,08
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
eval "按纽事件查找完毕!"
msg $RESULT
ret
复制代码
二、Delphi和BC++程序
Delphi和BC++都是同一公司开发的,故查找方法都一样,当然你也可以使用DEDE.
OD载入后,CTRL+G,转到00401000处
然后就CTRL+B,查找特征码740E8BD38B83????????FF93????????
然后就会找到下面的地方:
 然后就在下面的CALL处下断吧.
下面的工作就是不断的CTRL+L继续查找和F2下断了.
运行下看看效果吧:
 看,断下了吧,下面就F7跟进这个CALL吧,就来到这个按纽事件处了.
同样写个脚本,方便大家操作:
var Addr
mov Addr,401000
loop:
find Addr,#740E8BD38B83????????FF93????????#
cmp $RESULT,0
je Exit
add $RESULT,0A
bp $RESULT
add $RESULT,1
mov Addr,$RESULT
jmp loop
Exit:
ret
复制代码
三、易语言
易语言的这种查找方法,同样适合有壳的程序,其他的就必须脱壳后再继续操作了.
OD载入后,就F9运行程序吧,当程序运行后,ALT+E
选中易语言的核心库krnln,双击进去
然后CTRL+B,查找FF 55 FC
查找到的这个CALL就是了,F2下断吧
现在输入必须的内容后,单击对应的按纽吧
看,断下了吧,下面就F7跟进吧,就来到按纽事件处了
同样,写个脚本,方便大家
gpa"GetProcessHeap","kernel32.dll"
cmp $RESULT,0
je err
bp $RESULT
run
run
run
bc $RESULT
rtu
find 10001000,#FF55FC5F5E895D??8945#
bp $RESULT
find eip,#FFE0#
cmp$RESULT,0
je err
bp $RESULT
run
bc $RESULT
sto
MSG "按纽事件查找完毕!"
ret
err:
MSG "脚本运行错误!请检查错误后再继续运行脚本!"
ret
复制代码
四、VC++程序(非MFC程序)
OD载入后,单击鼠标右键,选择"查找",然后是"所有命令"
在弹出的输入框里,写入特征代码"sub eax,0a"
确定后,就来到下面的窗口
[img]  [/img]
在下面的sub eax,0A处,双击进去吧:
来找这里后,在下面的je处跟随过去
跟随来到的这个CALL,就是了,F2下断吧
然后断下后,F7跟进,F8几次,就来到按纽事件了.
五、MFC类程序
当然判断MFC和非MFC的程序,靠大家自己去判断了
OD载入后.ALT+E,来到可执行模块,找MFC的核心DLL:MFC42
然后就双击进去
然后就CTRL+F,查找特征代码:sub eax,0a
同样,找到后,就在下面的je处跟随,跟随后看到的CALL,就是那个关键CALL了!
断下后F7跟进,F8几次,就会来到按纽事件代码处了!
方法就简单的介绍到这里了,当然只是抛砖引玉,其他的,还得多靠大家自己慢慢总结吧!
[ 本帖最后由 freewold 于 2009-10-24 11:08 编辑 ] |
|
IP卡
发表于 2009-10-24 10:52:59
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-10-29 11:07:28
发表于 2009-11-1 16:40:20
发表于 2010-7-20 08:46:36