右键复制程序 粘贴快捷方式到下面的文件夹
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo 设置右键发送到
od中
exe文件 Ctrl+G跳转401000
OD右下角-堆栈窗口
OD上方,字母b查看下了什么断点
F8 单步走
F9 运行程序
十六进制地址处双击下断点
nop 空指令
jmp 无条件跳转
je 判断跳转
dll一般跳转10001000
跳转指令后的地址前如果有X,则该指令不能被修改,在X前加0,或删除X
寄存器z标志位为1,je跳转实现,为0不实现
壳内追踪注册码:
右键 分析 删除分析
搜索字符串
ESP定律:
程序载入OD->提示压缩加密,点否->按F8->寄存器窗口只有ESP和EIP值发生变化且为红色->寄存器窗口ESP处右键,数据窗口跟随,也可以在command窗口输入dd esp寄存器后面的地址,回车->左下角十六进制窗口右键,断点,硬件访问,word->F9运行->F8单步->向上的跳转,选中下一行F4->找大跳转,跳转过去就有可能是OEP->上面选择调试,硬件断点删除断点->入口处OD脱壳调试进程->脱壳
栈 先进后出
SP 栈顶指针
cmp 比较命令
test 比较命令 0为假,非0为真 修改对比的值,可影响跳转
双击寄存器中的EIP,返回程序执行位置
通常在关键跳上方一般2-3个call中,会出现关键call
F7 进入call,可修改test对比寄存器的值,下一行retn返回
查找字符串时,键盘b查找下一个
jnz 比较跳转
ini配置文件重启验证,下读文件断点
API断点MessageBoxA:信息框断点,让软件弹出信息框之前断下来,F8单步,找call附近是否有跳过这个call的跳转,如果有,则有可能跳转到了注册成功,将跳转到注册失败的跳转nop
ini重启验证断点:bp getprivateprofilestringa对ini文件读取的拦截,下好断点后,F9运行,Ait+F9返回程序领空去寻找关键地方
系统领空:内存地址较大,系统领空不可修改
程序领空:地址较小,一般0开头
当到程序领空后,OD标题中的模块会变为程序名称
万能断点(改过PE头的文件):
载入程序,F9运行,反汇编窗口右键查看,模块,user32,继续右键查找,二进制字符串,F3 A5 8B C8 83 E1 03 F3 A4 E8,输入假码后,下万能断点,点击软件注册,Ait+F9返回程序领空,F8单步
VB之tcMsgBox:
转载于:https://blog.51cto.com/3945465/2311730
扫一扫
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
