E语言基本特征码/时钟反调试/窗体push大法

最新推荐文章于 2024-05-23 10:01:27 发布
最新推荐文章于 2024-05-23 10:01:27 发布
阅读量2.5k 收藏 2
点赞数
文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45892228/article/details/128200702
版权

E语言基本特征码/时钟反调试/窗体push大法

该篇文章有以下内容:

    1. 易语言字符串比较函数 test edx,3 F7C203000000
    2. 按钮事件特征码:FF55FC5F5E,可以被修改恒成立
    3. 易语言体 FF 25
    4. 时钟的反调试
    5. Push窗体大法

一、利用 test edx,3 来判断字符串比较  F7C203000000
1. 查看该程序

2. 一般直接搜内存其硬编码(如果搜指令可能在高版本的E语言中可能搜索不到)
Test edx,0x3 其对应的硬编码为 F7C203000000

3. 在搜索结果中查看该地址

4. CPU窗口对应转到该指令当中去

 5. 下断点,当程序断下走完前几个,直接查看 edx,ecx 寄存器即可。

6. 修改字符串比较的返回值,这样就能达到注册的目的。

二、按钮事件特征码(FF55FC5F5E)

1. 这个应该被称为“易语言控件消息派发函数”,所有按钮都经过到这里来。

 2. 我们在这里下一个断点,之后按钮在这里断下。

 3. 不同的按钮都经过这里断下,之后进入各自的函数中。

三、易语言体(FF25)
1. 易语言体,所有的易语言函数都会经过这里

2. 我们之后就可以在这里利用如“PUSH 窗体大法”等来利用

四、“时钟”的反调试与干掉“时钟”
1. 设置一个“时钟”

2. 利用 FF55FC5F5E 特征码到达消息派发函数处,设置断点。

3. 之后发现每一秒都会暂停这里,根本无法暂停在按钮事件中。

4. 解决办法:设置条件断点
    00401047  /.  55            push ebp

五、push窗体大法

1. 先写一个窗口界面。

2. 定义到 FF25 易语言体,上面一个 LoadBeginWin 加载窗口,我们的思路是遍历窗口ID,让其弹出自己想弹出的窗口,这样就实现另外一种思路的破解了。

3. 找到该对应的插件,先运行程序再启动。

4. 查看对应的窗体ID

5. 再次重新调试程序,运行前修改有关参数,即可完成跳转。

生活家小毛
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
软件逆向中的push大法
qq_42983283的博客
11-25 2087
先打开od,然后ctrl+g
关于字符串比较的一点讨论---strcmp与memcmp的效率及实现原理
热门推荐
jcwKyl的专栏
03-25 1万+
要求写一个比较高效的文件比较程序,竟然发现memcmp比strcmp要快很多,于是跟踪调试,发现它们的实现原理:intel/strcmp.asm:    mov edx, dword ptr [esp + 4] ;取第二个参数地址    mov ecx, dword ptr [esp + 8] ;取第一个参数地址    test edx, 3  ;edx是第二个参数的地址,这里即检验该地址是否是4
易语言特征的应用
Tandy12356_的博客
09-05 623
介绍了几个易语言特征的应用
逆向破解之易语言按钮事件特征
xf555er的博客
08-21 2625
前面已经说了按钮事件特征捕获的事件不只是按钮事件,还有一些其他事件。但是可以通过下条件断点来精准捕获按钮事件。
一个吃鸡的外挂,我把它裤子扒了!
最新发布
2401_84618514的博客
05-23 797
背景最近在浏览某网络论坛,看到一款软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,。基本属性启动游戏辅助样本后,从表面上来看功能确实很强大,透视、距离、显血、自瞄这些都是玩家想用游戏辅助的一个痛点。但这游戏辅助功能都有实现吗?有这么强大了吗?结合可以得出样本基本属性的结果。该样本是通过易语言**(WTWindow类名是易语言特有**)进行开发的,从来看,该样本是没有做任何保护的普通样本。注册破解。
push大法破解登录框
fendo
04-02 1万+
一、前言 什么是push大法push跳窗口大法,大家都应该知道,一个软件里面会有登入窗口,如果登入成功他就会载入另一个功能窗口,而push跳窗口大法就是为了跳过登入窗口,载入功能窗口。 今天在网上找了个软件,下下来之后,需要激活。。尴尬,有登录窗口,这个时候想到了,push大法,将软件扔到PEiD,查看是否加了壳。。 什么壳都没有。。VC++6.0,通过p...
易语言破解之PUSH窗体
xf555er的博客
08-23 3043
PUSH窗体大法可以绕过大部分易语言程序的登录和注册界面但是有一个缺点,由于不知道哪个窗体地址才是载入真正代窗体,所以要一个个窗体去测试载入,若某个窗体写了暗桩,那么直接凉凉。
RE Tool(易语言push神器)
05-06
易语言专用push神奇,快来下载!! 易语言专用push神奇,快来下载!!
模拟器特征搜索源E语言
08-31
【E语言】模拟器特征搜索源,查找特征思路:使用CE内存工具,先找到模拟器动态地址,浏览相关区域前后的字节,每次重开没有变化或大变化,小部分变化可以使用通配符?,获取后在偏移到动态地址位置。
E盾特征工具.7z
11-30
E盾特征工具可能用于生成、分析或调试这些特征,以便于网络安全研究人员或病毒开发者更好地理解和对抗网络威胁。 在压缩包子文件的文件名称列表中,“E盾特征工具 -360报毒谨慎下载.rar”提示我们这个文件...
shuzhifenxi.zip_幂法_特征向量
09-19
本教程将详细讲解如何利用幂法和幂法这两种高效算法来求解矩阵的特征值和特征向量。 特征值与特征向量的概念源于线性代数。对于一个给定的方阵A,如果存在非零向量v和标量λ,使得Av=λv,那么λ称为A的特征值,v...
易语言-内存特征搜索
06-29
只支持 01 ?? 01 ??  或 01??01?? 这种类型特征最主要目的是演示如何提高搜索的效率而已 当然我只是做了一小段的优化处理 这并不可能百分百提高或许还会拖慢搜索的效率 最后呢,如果想提高效率就多动动脑做前期的处理 如果你直接按着顺序来的话 1 过 2 过 3 那我没话可说了, 懂了吗
易语言判断特征
08-22
判断易语言特征系统结构:易语言判断特征,判断特征 ======窗口程序集1 || ||------_按钮1_被单击 || ||------_按钮2_被单击 || ||------_按钮3_被单击 || ||------_按钮4_被单击 || ||------_按
易语言搜索定位内存特征
06-01
易语言搜索定位内存特征。Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。注意:测试代为查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代)。模块加载call调用(在开发插件的小伙伴可以直接使用)。@易语言学习论坛-ybhacker。
易语言-易语言搜索定位内存特征
06-25
易语言搜索定位内存特征 Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。 注意:测试代为查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代) 模块加载call调用(在开发插件的小伙伴可以直接使用)
C++ 特征搜索支持问号搜索 开源
08-09
在IT行业中,特征搜索是一种常见的技术,尤其在软件逆向工程、病毒检测以及调试工具中广泛应用。C++作为一款强大的编程语言,被广泛用于开发这类工具。标题"‘C++ 特征搜索支持问号搜索 开源’"表明我们讨论的是...
MYCCL定位特征 MYCCL定位特征
07-04
1. **特征混淆**:通过改变或混淆MYCCL定位特征,使病毒软件无法识别原有的恶意代特征。这通常包括代混淆、加密或变形,使得原始特征变得难以辨认。 2. **代分段与动态加载**:将恶意代分割成多个...
易语言x64位特征搜索技术(可搜索全内存范围0-7FFFFFFFFFFFFFFF)
hzw320的博客
10-22 7774
新模块里面我开发加入了对x64游戏操作的很多功能。 今天我来讲解下其中一个方面的功能,就是特征搜索方面的, 目前已经发布的模块版本中虽然有特征搜索的命令,但仅限于32位的程序使用, 所以对64位游戏进行特征定位搜索也是需要一个这样的功能的, 因为很多写64位游戏的用户需要更新辅助里各种基址, 就会需要用到特征来快速更新辅助所需的基址信息,所以这个功能也是尤为重要的。 为了方便使用我们Game-EC 驱动模块的人, 快速找到自己需要的命令名称,所以凡事对x64程序操作的命令名称我在模块里命令都以: x
易语言PUSH窗口法记录
还是上会网吧~
10-19 4574
易语言PUSH法,跳过验证窗口。https://www.52pojie.cn/thread-483527-1-1.html 测试: OD载入,打开EWND插件,一键获取,枚举窗口。 查找二进制串FF 25 直接替换成要载入的窗口值。0x52010038,保存。
c/c++ 实现内存特征搜索
07-18
C/C++实现内存特征搜索可以通过以下步骤来实现: 1. 定义特征:根据要搜索的目标数据,定义一个特征,通常使用十六进制表示。特征可以是一个或多个字节的组合。 2. 获取内存数据:使用内存读取函数(如`memcpy`),将程序需要搜索的内存数据读取到一个缓冲区中。 3. 搜索特征:在缓冲区中使用循环和条件语句,逐字节地比较缓冲区的数据和特征。如果找到完全匹配的特征,就说明目标数据被找到了。 4. 返回结果:如果找到了特征,返回找到的位置或索引;如果没有找到,返回一个指定的特殊值(如-1)表示没有找到。 下面是一个简单的示例代,用于在一个整数数组中搜索特定的整数值的内存特征: ```cpp #include <stdio.h> #include <string.h> int searchMemory(const int* data, int dataSize, int target) { const int* p = data; for (int i = 0; i < dataSize; i++) { if (*p == target) { return i; } p++; } return -1; } int main() { int data[5] = {1, 2, 3, 4, 5}; int target = 4; int result = searchMemory(data, sizeof(data)/sizeof(data[0]), target); if (result != -1) { printf("Target found at index: %d\n", result); } else { printf("Target not found\n"); } return 0; } ``` 这个示例中,`searchMemory`函数接受一个整数数组、数组大小和目标整数作为输入,然后在数组中搜索目标整数。如果找到,函数返回目标整数在数组中的索引;如果没有找到,返回-1。在`main`函数中,我们定义了一个整数数组和一个目标整数,然后调用`searchMemory`函数进行搜索。最后,根据函数的返回值输出相应结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生活家小毛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值