VB程序使很多朋友感到頭痛,主要是VB程序反編譯時產(chǎn)生大量的垃圾代碼,而且也找不到有
用的信息,在動態(tài)調(diào)試過程中,垃圾代碼太多,往往迷失于冗余的代碼中,找不到方向。
記住VB常用的一些函數(shù):
MultiByteToWideChar 將ANSI字符串轉換成UNICODE字符
WideCHatToMultiByte 將UNICODE字符轉換成ANSI字符
rtcT8ValFromBstr 把字符轉換成浮點數(shù)
vbaStrCmp 比較字符串(常用斷點)
vbaStrComp 字符串比較(常用斷點)
vbaStrCopy 復制字符串
StrConv 轉換字符串
vbaStrMove 移動字符串
__vbaVarCat 連接字符串
rtcMidCharVar 在字符串中取字符或者字符串!
__vbaLenBstr 取字符串的長度
vbaVarTstNe 變量比較
vbaVarTstEq 變量比較
rtcMsgBox 顯示對話框
VarBstrCmp 比較字符串
VarCyCmp 比較字符串
用OD載入脫殼后的程序,在命令行輸入:bpx hmemcpy,然后回車,會彈出程序運行調(diào)用的所有的函數(shù),在每個函數(shù)上設置好斷點!
說明:我破VB程序喜歡用這個斷點設置方法,通過一步步跟蹤,基本可以把握程序保護的思路,所以我破VB程序基本用這個斷點,
當然你可以用其它的斷點,只要能找到關鍵,任何斷點都是用意義的。
關于VB的程序,注冊沒有提示的二個辦法:
第一(提示錯誤):用GetVBRes來替換里面的提示串,一般是以‘111111’,‘222222’之類的替換
因為:VB,用的字來存放提示還有加了點東東,我們用的工具一般是字節(jié)分析。換成‘22222’之類的就是字節(jié)了,用靜態(tài)分析,就有你該的串了。GetVBRes(網(wǎng)上很多,自己下吧)
第二(沒有提示):用vbde這個工具(不知道,有沒有用過DEDE,是一樣思路),主要是找出破解的按鈕窗口的位置,來進行跟蹤。
先給出修改能正確反編譯VB程序的W32DASM的地址:
======================
offsets 0x16B6C-0x16B6D
修改機器碼為: 98 F4
======================
VB程序的跟蹤斷點:
============
MultiByteToWideChar,
rtcR8ValFromBstr,
WideCharToMultiByte,
__vbaStrCmp
__vbaStrComp
__vbaStrCopy
__vbaStrMove
__vbaVarTstNe
rtcBeep
rtcGetPresentDate (時間API)
rtcMsgBox
=========
時間限制斷點:
================
CompareFileTime
GetLocalTime
GetSystemTime
GetTimeZoneInformation
msvcrt.diffTime()
msvcrt.Time()
================
VB斷點查找方法
1,VB6.0編寫,OD載入程序調(diào)出注冊窗口,alt+e調(diào)出可執(zhí)行模塊窗口找到X:\WINDOWS\system32\MSVBVM60.DLL
雙擊,在ctrl+n調(diào)出窗口找到,名稱XXXXXXE區(qū)段=ENGINE 導出__vbaVarMove雙擊來到下面地址(可以直接在命令行 bp __vbaVarMove)
回到程序注冊窗口點注冊被攔斷在剛才下斷的地址,斷后在ctrl+F9,F(xiàn)8回
2,OD載入程序,命令行下斷點。
bp rtcMsgBox
堆棧友好提示
確定注冊失敗按鈕返回。接著向上找出點注冊按鈕執(zhí)行的代碼第一句,可以嗎?當然行,根據(jù)我們知道程序員寫一個事件執(zhí)行的代碼是如這種,
各種語言都差不多。
3,OD載入程序,命令行下斷點。
bp rtcMsgBox
任意填入偽注冊碼 9999999999999999999
確定后中斷
堆棧友好提示
確定注冊失敗按鈕返回。
W32Dasm反匯編程序,Shiht+F12
4,VB中的messagebox是一個消息框,匯編中用rtcMsgBox下斷點.用olldbg載入程序,Alt+e,在可執(zhí)行文件模塊中找到Msvbvm60.dll,雙擊它, 在代碼窗口點右鍵-搜索-當前模塊中的名稱中的rtcMsgBox函數(shù),雙擊它,在6A362F29 55 PUSH EBP這一句雙擊下斷點,關掉多余的窗口,只留下 cpu調(diào)試主窗口,F9運行程序,點?號按鈕,隨便輸入987654321后,回車后立即中斷,然后Ctrt+f9執(zhí)行到返回地址,因為這是msvbvm60的領空,
我們要回到程序領空.秘密記事本彈出message錯誤提示信息,點確定,向上看 ,再按F8就回到
5,為Microsoft Visual Basic 6.0。先用SmartCheck找到程序比較注冊碼點,
6,用vb常用比較斷點
vbastrcmp
vbastrcomp
vbavartsteq
在od中設斷點找注冊碼
7,用Od載入程序,運行,填入上面的注冊碼和順序號。在Od中下斷點,Alt+E,雙擊Msvbvm60運行庫,右鍵-搜索當前模塊中的名稱,找到Vbastrcmp,雙擊下斷點。
本文地址:http://read.newbooks.com.cn/info/178616.html