能力值:
( LV9,RANK:210 )
|
-
-
2 楼
lordpe
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我用OD,这个方法不行吧:)你有QQ吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
fly斑竹,你在啊,我觉得我这个好像是crackme所以就放到那边了,这边的我又不能删除。
我的问题就是:
我有个vb程序,我想跟入程序的开始点,因为od一开始断到了
0041EF9C > $ 68 B0F44100 PUSH SF.0041F4B0
0041EFA1 . E8 F0FFFFFF CALL <JMP.&MSVBVM60.#100>
0041EFA6 . 0000 ADD BYTE PTR DS:[EAX],AL
0041EFA8 . 0000 ADD BYTE PTR DS:[EAX],AL
0041EFAA . 0000 ADD BYTE PTR DS:[EAX],AL
0041EFAC . 3000 XOR BYTE PTR DS:[EAX],AL
0041EFAE . 0000 ADD BYTE PTR DS:[EAX],AL
0041EFB0 . 50 PUSH EAX
0041EFB1 . 0000 ADD BYTE PTR DS:[EAX],AL
0041EFB3 . 0040 00 ADD BYTE PTR DS:[EAX],AL
0041EFB6 . 0000 ADD BYTE PTR DS:[EAX],AL
跟进Call后:
7339DE12 > 55 PUSH EBP
7339DE13 8BEC MOV EBP,ESP
7339DE15 6A FF PUSH -1
7339DE17 68 90983A73 PUSH MSVBVM60.733A9890
7339DE1C 68 51EF4773 PUSH MSVBVM60.7347EF51
7339DE21 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
7339DE27 50 PUSH EAX
7339DE28 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
7339DE2F 51 PUSH ECX
7339DE30 51 PUSH ECX
7339DE31 83EC 4C SUB ESP,4C
7339DE34 53 PUSH EBX
7339DE35 56 PUSH ESI
7339DE36 57 PUSH EDI
7339DE37 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
7339DE3A 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
7339DE3D 8935 DCF74973 MOV DWORD PTR DS:[7349F7DC],ESI
7339DE43 8365 FC 00 AND DWORD PTR SS:[EBP-4],0
7339DE47 8D45 A0 LEA EAX,DWORD PTR SS:[EBP-60]
7339DE4A 50 PUSH EAX
7339DE4B FF15 18113973 CALL DWORD PTR DS:[<&KERNEL32.GetStartup>; kernel32.GetStartupInfoA
7339DE51 0FB745 D0 MOVZX EAX,WORD PTR SS:[EBP-30]
7339DE55 A3 D8F74973 MOV DWORD PTR DS:[7349F7D8],EAX
7339DE5A FF35 CCF64973 PUSH DWORD PTR DS:[7349F6CC] ; SF.00400000
7339DE60 56 PUSH ESI
7339DE61 BE 70F44973 MOV ESI,MSVBVM60.7349F470
7339DE66 8BCE MOV ECX,ESI
7339DE68 E8 60000000 CALL MSVBVM60.7339DECD
7339DE6D 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
7339DE70 85C0 TEST EAX,EAX
7339DE72 7C 51 JL SHORT MSVBVM60.7339DEC5
7339DE74 6A 00 PUSH 0
7339DE76 6A 00 PUSH 0
7339DE78 68 69100000 PUSH 1069
7339DE7D FF15 BC103973 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId
7339DE83 50 PUSH EAX
7339DE84 FF15 18163973 CALL DWORD PTR DS:[<&USER32.PostThreadMe>; USER32.PostThreadMessageA
7339DE8A 8D45 9C LEA EAX,DWORD PTR SS:[EBP-64]
7339DE8D 50 PUSH EAX
7339DE8E 8BCE MOV ECX,ESI
7339DE90 E8 7459FFFF CALL MSVBVM60.73393809
7339DE95 85C0 TEST EAX,EAX
7339DE97 74 14 JE SHORT MSVBVM60.7339DEAD
7339DE99 8B45 9C MOV EAX,DWORD PTR SS:[EBP-64]
7339DE9C 8B88 20050000 MOV ECX,DWORD PTR DS:[EAX+520]
7339DEA2 85C9 TEST ECX,ECX
7339DEA4 74 07 JE SHORT MSVBVM60.7339DEAD
7339DEA6 6A FF PUSH -1
7339DEA8 E8 6B680000 CALL MSVBVM60.733A4718
7339DEAD 8BCE MOV ECX,ESI
7339DEAF E8 1ED60000 CALL MSVBVM60.733AB4D2
7339DEB4 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
7339DEB8 6A 00 PUSH 0
7339DEBA FF15 20113973 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; kernel32.ExitProcess
由于注册不成功,程序没有任何提示,显示一个开始画面,然后就全消失了,我没法设置任何断点,所以我想在程序开始处设置,可又断不到
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
fly老大总是在我违例的时候出现,怎么问问题的时候,就没人了?fly在吗?
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
0041EF9C就是入口点
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
关键是我一按F8,就自动运行了,然后告诉我参数错误,我没法跟踪到我的程序里,然后就退出了,参数错误是在NTDLL中提示的,能看看我的软件吗?我就差网络端没搞定了
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
或者说就出一个开始画面,然后程序自动退出,请问,如何拦截开始画面?
|
能力值:
( LV13,RANK:970 )
|
-
-
9 楼
VB 程序就这样子。要跟具体地方,除非具体找到那点
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
nbw兄,能指点一下吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
nbw兄,不在了吗?我想vb5肯定是要启动我程序的某段代码来和网络通信,我想断到哪里,可是不成功,有什么方法吗?
|
