前端之家收集整理的这篇文章主要介绍了
在VB程序寻找下断点地址的有效方法,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
1. 通过查找当前模块中的名称(标签),然后查找输入函数参考来定位函数地址。 这是最常用的方法之一,但对于有些压缩过的程序效果可能就不那么高了。就象飘云兄刚发的那个《PiaoYun's CrackMe 004 》就不怎么有效。 2. 通过查找所有字符串来定位断点地址,这也是最最常用的方法之一,对于没有对字符串加密的程序来说特别有效,但对加密的基本上就无能为力了。 3. 通过查找对一个地址的参考来定位断点地址,这也是一个好方法,但对于引用该地址的指令中不直接给该地址值时就无能为力了。对于查找命令序列什么的都是如此。 4. 对某个内存地址下硬件断点(读,写,执行),可以中断任何对该地址的内存操作。但要找到这个地址需要费点功夫的。 ***以上4点下断点的方法针对任何程序都有效的*** 下面说说对VB程序下断点时特别有效的一个方法: 5. 这里介绍一个在VB程序中定位断点地址特别有效的方法: 在VB程序中查找二进制字串:81 6C 24(十六进制),可以找到如下形式的指令: 004016A0 . 816C24 04 FFFF0000 sub dword ptr [esp+4],0FFFF 004016A8 . E9 D3510000 jmp 00406880 。。。 00401FB8 . 816C24 04 63000000 sub dword ptr [esp+4],63 00401FC0 . E9 0B260000 jmp 004045D0 ; SN编辑框输入处理函数 其中,0FFFF这个值代表的VB程序内定义的一个函数或着过程,若为其他值(如4B),则代表的是VB程序中某个组件或控件的方法。其下面的JMP指令就跳到该方法的第一条指令上。 那么,在该JMP上下断点,就可直接中断在处理方法的第一条指令上。非常的快捷方便。 大家可以拿飘云兄刚发的那个《PiaoYun's CrackMe 004 》练练。 这个CrackMe是压缩了的。可以在OllyDBG的调试设置的SFX选项卡中选择[块方式跟踪真正入口处]或[字节方式跟踪真正入口处],然后重新Load程序,则OllyDBG会自动跟踪并停在真正的入口处的。 原文链接:https://www.f2er.com/vb/256311.html