|
一、VB程序 OD載入后,CTRL+B,816C24
然后,就在下面的JMP處F2下斷,下完后CTRL+L,如果還有,就繼續(xù)下斷點(diǎn). 下完斷點(diǎn)后,運(yùn)行程序,點(diǎn)擊相應(yīng)的按紐,OD就會(huì)斷下來(lái)了 下面的任務(wù)就是考驗(yàn)大家的耐心,F8跟蹤吧,不再贅述了. 當(dāng)然,為了方便大家,可以寫個(gè)簡(jiǎn)單的腳本,免的每次都去手動(dòng)設(shè)置了,節(jié)省時(shí)間: 復(fù)制內(nèi)容到剪貼板 代碼:var Addr Delphi和BC++都是同一公司開發(fā)的,故查找方法都一樣,當(dāng)然你也可以使用DEDE. OD載入后,CTRL+G,轉(zhuǎn)到00401000處 然后就會(huì)找到下面的地方: 然后就在下面的CALL處下斷吧. 下面的工作就是不斷的CTRL+L繼續(xù)查找和F2下斷了. 運(yùn)行下看看效果吧: 看,斷下了吧,下面就F7跟進(jìn)這個(gè)CALL吧,就來(lái)到這個(gè)按紐事件處了. 同樣寫個(gè)腳本,方便大家操作: 復(fù)制內(nèi)容到剪貼板 代碼:var Addr 易語(yǔ)言的這種查找方法,同樣適合有殼的程序,其他的就必須脫殼后再繼續(xù)操作了. OD載入后,就F9運(yùn)行程序吧,當(dāng)程序運(yùn)行后,ALT+E
然后CTRL+B,查找FF 55 FC 查找到的這個(gè)CALL就是了,F2下斷吧 現(xiàn)在輸入必須的內(nèi)容后,單擊對(duì)應(yīng)的按紐吧
看,斷下了吧,下面就F7跟進(jìn)吧,就來(lái)到按紐事件處了 同樣,寫個(gè)腳本,方便大家 復(fù)制內(nèi)容到剪貼板 代碼:gpa"GetProcessHeap","kernel32.dll" find eip,#FFE0# MSG "按紐事件查找完畢!" err: OD載入后,單擊鼠標(biāo)右鍵,選擇"查找",然后是"所有命令" 10.GIF (7 KB) 確定后,就來(lái)到下面的窗口 在下面的sub eax,0A處,雙擊進(jìn)去吧: 12.GIF (16 KB) 來(lái)找這里后,在下面的je處跟隨過(guò)去
跟隨來(lái)到的這個(gè)CALL,就是了,F2下斷吧 然后斷下后,F7跟進(jìn),F8幾次,就來(lái)到按紐事件了. 五,、MFC類程序 當(dāng)然判斷MFC和非MFC的程序,靠大家自己去判斷了 OD載入后.ALT+E,來(lái)到可執(zhí)行模塊,找MFC的核心DLL:MFC42 然后就雙擊進(jìn)去 然后就CTRL+F,查找特征代碼:sub eax,0a
同樣,找到后,就在下面的je處跟隨,跟隨后看到的CALL,就是那個(gè)關(guān)鍵CALL了!
斷下后F7跟進(jìn),F8幾次,就會(huì)來(lái)到按紐事件代碼處了! 方法就簡(jiǎn)單的介紹到這里了,當(dāng)然只是拋磚引玉,其他的,還得多靠大家自己慢慢總結(jié)吧! |
|
|
