文章介绍了如何在没有文本框API断点的情况下,通过设置精准消息断点、内存断点和步进跟踪,追踪并找到用户名和密码在Windows软件注册过程中的关键代码区域,以便于进行调试和破解。
针对用户名和密码文本输入的思考有一个想法,对于无法搜索字符串,无法通过文本框下api断点,是不是可以找第一次文本在寄存器中出现的语句下断点?运气好的话可以直接到达关键代码段,就算不能,那也已经非常接近关键代码段,单步跟踪应该也能到达关键代码段。于是做如下尝试:
系统:win7 64
未注册版软件如下
链接:https://pan.baidu.com/s/1_wrHWu9Z7lQc6wlIDQEQ1w?pwd=3oo7
提取码:3oo7
过程如下
1.给注册按钮下精准消息断点
参考文章
偷换windows窗口过程 https://blog.csdn.net/lixiangminghate/article/details/71598164
消息万能断点_win7万能断点 http://bbs.pediy.com/showthread.php?t=98274
精准型消息断点 https://zhuanlan.zhihu.com/p/636555027
首先载入程序,在程序入口自动暂停
点击运行,弹出过期窗口,点击输入注册码按钮,开始注册
输入用户名,密码,此处不要点击注册,进入句柄窗口,获取句柄
进入句柄窗口,点击刷新
显示了当前程序的所有控件句柄信息,选择注册按钮,
此处我们需要复制注册按钮的父窗体句柄,注册按钮的句柄,后面会用到
现在开始下精准消息断点,前提要载入user32.dll的符号信息
搜索internalcallwinproc,F2下断点
进入断点窗口,
精准消息断点参数如下:
模块=user32.dll.__InternalCallWinProc@20
暂停条件
arg.get(1)==0x父句柄 && arg.get(2)==0x111 && arg.get(4)==0x按钮句柄
举例
arg.get(1)==0x191008 && arg.get(2)==0x111 && arg.get(4)==0xB0DCA
2.通过内存断点返回用户领空
F9运行程序,程序跑起来了,点击注册按钮,程序断在internalcallwinproc处,检查堆栈参数是否正确
返回内存布局页面给code下内存断点
点击F9运行程序,断在用户领空
3.利用步进直到满足条件功能,打印所有的寄存器日志信息
参考
菜鸟的福音-x64dbg完美追踪方案https://www.52pojie.cn/forum.php?mod=viewthread&tid=1855029&highlight=x64dbg https://bbs.kanxue.com/thread-279502.htm
X64Dbg 介绍->表达式- iBinary https://www.cnblogs.com/iBinary/p/16359195.html
此时把断点禁止,以免跟踪时被暂停
点击菜单栏的跟踪,选择步进直到满足条件功能
步进直到满足条件的参数设置如下:
日志文本:###{modname@cip}_{a:cip}#{i:cip}--->eax__{a:eax}--ebx__{a:ebx}--ecx__{a:ecx}--edx__{a:edx}--esp__{a:esp}--ebp__{a:ebp}--esi__{a:esi}--edi__{a:edi}
日志条件:mod.party(cip)!=1 意思是仅当用户领空时打印日志
此处的输出有2种,1.如果选择了日志保存位置,会以log文件的形式,输出到指定目录;2,如果不选择目录,会默认输出到日志选项卡
因为输出内容非常多,此处我们选择保存log文件
点击确定后开始跟踪,指定步数后暂停
4.找到用户名或者密码的语句
找到保存的log目录
利用搜索功能,查找用户名或者密码.
找到第一次出现的用户名或者密码,记下地址
5.用转到表达式功能ctrl+G,定位到代码,下断点。
重新运行程序,断在关键代码区域,开始单步跟踪分析程序
跟踪不久发现相关注册信息
继续跟踪,发现了关键跳转语句,跳向不同的注册类型。选择某一个类型即可注册成功。
本文结束
扫一扫
1451
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
