push窗口怎么找

hahacker

[size=14.44444465637207px]用E-debug抓取事件
[size=14.44444465637207px]→开始调试←
[size=14.44444465637207px]触发窗口:5201C13C→触发控件:1601C2E2
[size=14.44444465637207px]控件名称:时钟3→事件地址:42FA96
[size=14.44444465637207px]-------------点了登陆按钮之后--------
[size=14.44444465637207px]触发窗口:5201C13C→触发控件:1601C151
[size=14.44444465637207px]控件名称:编辑框_帐号→事件地址:416710
[size=14.44444465637207px]-------------------------------
[size=14.44444465637207px]触发窗口:5201C13C→触发控件:1601C151
[size=14.44444465637207px]控件名称:编辑框_帐号→事件地址:41486A
[size=14.44444465637207px]-------------------------------
[size=14.44444465637207px]触发窗口:5201C13C→触发控件:1601C151
[size=14.44444465637207px]控件名称:编辑框_帐号→事件地址:41486A
[size=14.44444465637207px]-------------------------------
[size=14.44444465637207px]触发窗口:5201C13C→触发控件:1601C151
[size=14.44444465637207px]控件名称:编辑框_帐号→事件地址:416710
[size=14.44444465637207px]窗口是5201C13C，但是点了登陆按钮之后，却触发了两个断点，
[size=14.44444465637207px]这就很奇怪了，应该是一个事件地址才对啊，我比较了下两处
[size=14.44444465637207px]地址的代码，基本上一样的，只是有个别地址push xxx，不一样
[size=14.44444465637207px]那么怎么确定到底调用的是哪个呢？？而且怎么可能调用两个地址呢？
[size=14.44444465637207px]用FF 55 FC 5F 5E来下断，但是貌似程序是有个定时器的，不停的
[size=14.44444465637207px]自动在这个位置下断，目的就是防止人为的在这个地址下断。
[size=14.44444465637207px]所以我提前先打开程序，用PCHunter32把时钟去掉，之后再附加，但是
[size=14.44444465637207px]这样的程序基本上是卡死的，再下断好像也不太好使,像这样的如何解决?

[size=14.44444465637207px]第二个问题。。
[size=14.44444465637207px]因为软件是可以注册帐号试用进去的，所以我注册了个帐号进入主界面，再用
[size=14.44444465637207px]e-debug看了下，它的窗口是52010001, 所以我直接在程序里查找
[size=14.44444465637207px]push 0x5201C13C, 查找如下：
[size=14.44444465637207px]0040A57D    68 02000080     push 0x80000002
[size=14.44444465637207px]0040A582    6A 00           push 0x0
[size=14.44444465637207px]0040A584    68 00000000     push 0x0
[size=14.44444465637207px]0040A589    6A 00           push 0x0
[size=14.44444465637207px]0040A58B    6A 00           push 0x0
[size=14.44444465637207px]0040A58D    6A 00           push 0x0
[size=14.44444465637207px]0040A58F    68 01000100     push 0x10001
[size=14.44444465637207px]0040A594    68 3DC10106     push 0x601C13D
[size=14.44444465637207px]0040A599    68 3CC10152     push 0x5201C13C   //就是这个
[size=14.44444465637207px]0040A59E    68 03000000     push 0x3
[size=14.44444465637207px]0040A5A3    BB A0455000     mov ebx,Terminat.005045A0
[size=14.44444465637207px]0040A5A8    E8 A2990F00     call Terminat.00503F4F

[size=14.44444465637207px]我是想，连点击登陆铵钮都省了，直接打开的就是主窗口，所以打补丁push 0x5201C13C
[size=14.44444465637207px]改为push 0x52010001
[size=14.44444465637207px]但是运行之后，是能进入主窗口的，但是也时也弹出了如下图的错误，请问问题出在哪儿啊？


[size=14.44444465637207px]第三个问题，对于这种FF25之后在JMP上面没有push 0x520xxx的这种，应该是隐藏掉了，如何push呢?
[size=14.44444465637207px]上传一下程序：[size=14.44444465637207px]http://pan.baidu.com/s/1gdzsk5l[size=14.44444465637207px] 求各路高手指点，谢谢。

hahacker

为什么发个贴子，出现[size=14.44444465637207px]呢？弄不掉了。哎。