VB程序使很多朋友感到頭痛,主要是VB程序反編譯時(shí)產(chǎn)生大量的垃圾代碼,而且也找不到有
用的信息,在動(dòng)態(tài)調(diào)試過程中,垃圾代碼太多,往往迷失于冗余的代碼中,找不到方向。
記住VB常用的一些函數(shù):
MultiByteToWideChar 將ANSI字符串轉(zhuǎn)換成UNICODE字符
WideCHatToMultiByte 將UNICODE字符轉(zhuǎn)換成ANSI字符
rtcT8ValFromBstr 把字符轉(zhuǎn)換成浮點(diǎn)數(shù)
vbaStrCmp 比較字符串(常用斷點(diǎn))
vbaStrComp 字符串比較(常用斷點(diǎn))
vbaStrCopy 復(fù)制字符串
StrConv 轉(zhuǎn)換字符串
vbaStrMove 移動(dòng)字符串
__vbaVarCat 連接字符串
rtcMidCharVar 在字符串中取字符或者字符串!
__vbaLenBstr 取字符串的長(zhǎng)度
vbaVarTstNe 變量比較
vbaVarTstEq 變量比較
rtcMsgBox 顯示對(duì)話框
VarBstrCmp 比較字符串
VarCyCmp 比較字符串
用OD載入脫殼后的程序,在命令行輸入:bpx hmemcpy,然后回車,會(huì)彈出程序運(yùn)行調(diào)用的所有的函數(shù),在每個(gè)函數(shù)上設(shè)置好斷點(diǎn)!
說明:我破VB程序喜歡用這個(gè)斷點(diǎn)設(shè)置方法,通過一步步跟蹤,基本可以把握程序保護(hù)的思路,所以我破VB程序基本用這個(gè)斷點(diǎn),
當(dāng)然你可以用其它的斷點(diǎn),只要能找到關(guān)鍵,任何斷點(diǎn)都是用意義的。
關(guān)于VB的程序,注冊(cè)沒有提示的二個(gè)辦法:
第一(提示錯(cuò)誤):用GetVBRes來(lái)替換里面的提示串,一般是以‘111111’,‘222222’之類的替換
因?yàn)椋篤B,用的字來(lái)存放提示還有加了點(diǎn)東東,我們用的工具一般是字節(jié)分析。換成‘22222’之類的就是字節(jié)了,用靜態(tài)分析,就有你該的串了。GetVBRes(網(wǎng)上很多,自己下吧)
第二(沒有提示):用vbde這個(gè)工具(不知道,有沒有用過DEDE,是一樣思路),主要是找出破解的按鈕窗口的位置,來(lái)進(jìn)行跟蹤。
先給出修改能正確反編譯VB程序的W32DASM的地址:
======================
offsets 0x16B6C-0x16B6D
修改機(jī)器碼為: 98 F4
======================
VB程序的跟蹤斷點(diǎn):
============
MultiByteToWideChar,
rtcR8ValFromBstr,
WideCharToMultiByte,
__vbaStrCmp
__vbaStrComp
__vbaStrCopy
__vbaStrMove
__vbaVarTstNe
rtcBeep
rtcGetPresentDate (時(shí)間API)
rtcMsgBox
=========
時(shí)間限制斷點(diǎn):
================
CompareFileTime
GetLocalTime
GetSystemTime
GetTimeZoneInformation
msvcrt.diffTime()
msvcrt.Time()
================
VB斷點(diǎn)查找方法
1,VB6.0編寫,OD載入程序調(diào)出注冊(cè)窗口,alt+e調(diào)出可執(zhí)行模塊窗口找到X:\WINDOWS\system32\MSVBVM60.DLL
雙擊,在ctrl+n調(diào)出窗口找到,名稱XXXXXXE區(qū)段=ENGINE 導(dǎo)出__vbaVarMove雙擊來(lái)到下面地址(可以直接在命令行 bp __vbaVarMove)
回到程序注冊(cè)窗口點(diǎn)注冊(cè)被攔斷在剛才下斷的地址,斷后在ctrl+F9,F(xiàn)8回
2,OD載入程序,命令行下斷點(diǎn)。
bp rtcMsgBox
堆棧友好提示
確定注冊(cè)失敗按鈕返回。接著向上找出點(diǎn)注冊(cè)按鈕執(zhí)行的代碼第一句,可以嗎?當(dāng)然行,根據(jù)我們知道程序員寫一個(gè)事件執(zhí)行的代碼是如這種,
各種語(yǔ)言都差不多。
3,OD載入程序,命令行下斷點(diǎn)。
bp rtcMsgBox
任意填入偽注冊(cè)碼 9999999999999999999
確定后中斷
堆棧友好提示
確定注冊(cè)失敗按鈕返回。
W32Dasm反匯編程序,Shiht+F12
4,VB中的messagebox是一個(gè)消息框,匯編中用rtcMsgBox下斷點(diǎn).用olldbg載入程序,Alt+e,在可執(zhí)行文件模塊中找到Msvbvm60.dll,雙擊它, 在代碼窗口點(diǎn)右鍵-搜索-當(dāng)前模塊中的名稱中的rtcMsgBox函數(shù),雙擊它,在6A362F29 55 PUSH EBP這一句雙擊下斷點(diǎn),關(guān)掉多余的窗口,只留下 cpu調(diào)試主窗口,F9運(yùn)行程序,點(diǎn)?號(hào)按鈕,隨便輸入987654321后,回車后立即中斷,然后Ctrt+f9執(zhí)行到返回地址,因?yàn)檫@是msvbvm60的領(lǐng)空,
我們要回到程序領(lǐng)空.秘密記事本彈出message錯(cuò)誤提示信息,點(diǎn)確定,向上看 ,再按F8就回到
5,為Microsoft Visual Basic 6.0。先用SmartCheck找到程序比較注冊(cè)碼點(diǎn),
6,用vb常用比較斷點(diǎn)
vbastrcmp
vbastrcomp
vbavartsteq
在od中設(shè)斷點(diǎn)找注冊(cè)碼
7,用Od載入程序,運(yùn)行,填入上面的注冊(cè)碼和順序號(hào)。在Od中下斷點(diǎn),Alt+E,雙擊Msvbvm60運(yùn)行庫(kù),右鍵-搜索當(dāng)前模塊中的名稱,找到Vbastrcmp,雙擊下斷點(diǎn)。
本文地址:http://read.newbooks.com.cn/info/178616.html