[翻译]使用OllyDbg从零开始Cracking 第三十章-P-CODE-Part2-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[翻译]使用OllyDbg从零开始Cracking 第三十章-P-CODE-Part2

发表于: 2014-7-13 16:52 12140

[翻译]使用OllyDbg从零开始Cracking 第三十章-P-CODE-Part2

安于此生

2014-7-13 16:52

12140

[COLOR="Red"][FONT="Arial Black"][SIZE="6"]使用OllyDbg从零开始Cracking[/SIZE][/FONT][/COLOR]

6c → ILdRf   将指定操作数压入堆栈
1b → LitStr5  将字符串压入堆栈
fb → Lead0 
30 → EqStr 比较两个字符串(与Lead0配合使用)
2f → FFree1Str 释放内存空间
1a → FFree1Ad 释放内存空间
0f → VCallAd 通过虚拟机运行操作码
1c → BranchF 条件跳转指令,如果栈顶的值为false则跳转(相当于汇编指令JNE/JNZ)
1d → BranchT 条件跳转指令,如果栈顶的值为true则跳转(相当于汇编指令JE/JZ)
1e → Branch 无条件跳转(嘿嘿,相当于汇编指令JMP)
fc → Lead1 
c8 → End 终止程序(与Lead1配合使用)
f3 → LitI2 将立即数压入堆栈
f4 → LitI2_Byte 将指定数据转化为字节整型并压入堆栈
70 → FStrI2 将栈顶的WORD型元素保存到内存单元中,然后执行出栈操作
6b → FLdI2 将WORD型参数压入堆栈
a9 → AddI2 栈顶两个WORD型元素相加,相加的结果置于栈顶
ad → SubI2 栈顶两个WORD型元素相减,相减的结果置于栈顶
b1 → MulI2 栈顶两个WORD型元素相乘,相乘的结果置于栈顶

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

#调试逆向

上传的附件：

1.png （25.70kb，3次下载）
2.png （11.55kb，2次下载）
3.png （13.10kb，3次下载）
4.png （5.54kb，2次下载）
5.png （7.74kb，2次下载）
6.png （7.00kb，2次下载）
7.png （11.95kb，2次下载）
8.png （1.49kb，2次下载）
9.png （30.00kb，3次下载）
10.png （2.70kb，2次下载）
11.png （7.31kb，2次下载）
12.png （3.41kb，2次下载）
13.png （8.57kb，2次下载）
14.png （2.06kb，2次下载）
15.png （0.96kb，2次下载）
16.png （4.24kb，2次下载）
17.png （1.48kb，2次下载）
18.png （7.16kb，2次下载）
19.png （11.40kb，2次下载）
20.png （4.92kb，2次下载）
21.png （2.12kb，2次下载）
22.png （2.38kb，2次下载）
23.png （3.18kb，2次下载）
24.png （20.08kb，2次下载）
25.png （1.42kb，2次下载）
26.png （4.96kb，2次下载）
27.png （8.29kb，2次下载）
28.png （10.91kb，2次下载）
29.png （2.22kb，2次下载）
30.png （2.93kb，2次下载）
31.png （2.23kb，2次下载）
32.png （4.47kb，3次下载）
33.png （1.08kb，2次下载）
34.png （1.74kb，2次下载）
35.png （4.37kb，2次下载）
36.png （3.41kb，2次下载）
37.png （2.04kb，2次下载）
38.png （2.28kb，2次下载）
39.png （1.61kb，2次下载）
40.png （1.73kb，2次下载）
41.png （2.05kb，2次下载）
42.png （5.16kb，2次下载）
43.png （3.40kb，2次下载）
44.png （4.01kb，2次下载）
45.png （6.63kb，2次下载）
46.png （10.06kb，3次下载）
47.png （1.63kb，2次下载）
48.png （2.31kb，2次下载）
49.png （5.91kb，2次下载）
50.png （1.03kb，2次下载）
51.png （9.52kb，2次下载）
52.png （4.18kb，2次下载）
53.png （2.63kb，2次下载）
54.png （1.42kb，2次下载）
55.png （39.72kb，2次下载）
56.png （1.45kb，2次下载）
57.png （1.40kb，2次下载）
58.png （4.18kb，2次下载）
59.png （7.56kb，2次下载）
60.png （3.85kb，2次下载）
61.png （2.50kb，2次下载）
62.png （12.61kb，2次下载）
63.png （9.04kb，3次下载）
64.png （2.51kb，2次下载）
65.png （1.45kb，3次下载）
66.png （6.92kb，3次下载）
67.png （2.35kb，3次下载）
68.png （14.67kb，3次下载）
69.png （2.53kb，3次下载）
70.png （1.14kb，3次下载）
71.png （0.81kb，2次下载）
72.png （3.07kb，2次下载）
73.png （5.90kb，2次下载）
74.png （14.96kb，2次下载）
75.png （8.76kb，2次下载）
76.png （11.63kb，6次下载）
77.png （43.29kb，14次下载）
clave2.7z （2.67kb，381次下载）
exdec.7z （74.53kb，391次下载）
MSVBVM50.7z （503.56kb，474次下载）
nags1.7z （2.15kb，397次下载）
nags2.7z （2.32kb，370次下载）
olly_parcheado_para_vb.7z （495.55kb，514次下载）
P-Code_OPCODES.7z （329.82kb，350次下载）
使用OllyDbg从零开始Cracking 第三十章-P-CODE-Part2.doc （605.55kb，596次下载）

收藏・7

免费・3

支持

最新回复 (16)
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 2 楼 ,77张图片传的偶眼冒金星... ,要是坛子的编辑功能能像Discuz！论坛那样可以节省多少时间呀... 2014-7-13 16:56 0
hackcq 雪币： 756 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	hackcq 3 楼楼主辛苦了！ 2014-7-13 18:51 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 4 楼占位~~~~ lz辛苦了 2014-7-13 18:55 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 5 楼看了下lz的译文，很详细，收下了，但是有几个错误要指出。 fb → Lead0 比较两个字符串 30 → EqStr 比较两个字符串(与Lead0配合使用) 2f → FFree1Str 释放内存空间 1a → FFree1Ad 释放内存空间 0f → VCallAd 通过虚拟机运行操作码 1c → BranchF 条件跳转指令,如果栈顶的值为false则跳转(相当于汇编指令JNE/JNZ) 1d → BranchT 条件跳转指令,如果栈顶的值为true则跳转(相当于汇编指令JE/JZ) 1e → Branch 无条件跳转(嘿嘿,相当于汇编指令JMP) fc → Lead1 终止程序 vb p-code指令中Lead0、Lead1、Lead2、Lead3、Lead4是没有意义的，具体意义要看后一个操作码。 VB 的p-code是按byte取操作码执行的，那样的话就只有256中操作符可供使用了。但是p-code有1000多条指令，256条肯定是不够的，所以就出现Lead（引导）指令。这里觉得叫Lead指令为扩展指令比较贴切。首先简单说明一下p-code指令格式： <标准指令前缀> [扩展指令前缀] [定参] [变参] 定参: 固定参数变参: 可变参数当vb虚拟机(vbvm)开始取指令时，是按照指令前缀来进行操作的。标准指令前缀为1个字节。当指令前缀范围在0xFB~0xFF(Lead0=0xFB,Lead1=0xFC,Lead2=0xFD,Lead3=0xFE,Lead4=0xFF) 范围内时，存在扩展指令前缀(1 Byte)，取得了指令前缀仅仅是知道了定参的格式。变参是根据定参来定义的。参考Semi VB Decompiler 的源码，有部分指令的指令大小被设置成-1。这种指令就存在变参。对于有变参的指令来说，其定参是固定的，为1个WORD。这个WORD描述的是紧随其后的变参的大小(长度)，是以字节为单位的。但是正常情况下该定参永远不会是奇数。因为变参实际上是一个WORD数组，vbvm一般是释放数组所表示的内存指针。另外在MSVBVM60.dll中，有6张跳转表。分别是： std [256] lead0 [256] lead1 [256] lead2 [256] lead3 [256] lead4 [71] std就是标准指令前缀。当标准指令前缀范围在0xFB~0xFF范围时，取扩展指令前缀。并跳转到扩展指令跳转表里。 2014-7-13 19:42 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 6 楼感谢bxc兄的指正,文中已更正... bxc兄对P-CODE很有研究啊... 2014-7-13 19:53 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 7 楼没有啦，就是最近在搞p-code相关的东西，把VB的源码翻译成C++的，快恶心吐了 2014-7-13 19:56 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 8 楼 ,好犀利的赶脚... 2014-7-13 19:57 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 9 楼没多犀利搞了快半年了，还没整出来。。 2014-7-13 20:08 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 10 楼楼主辛苦了，七十七张图换了可能是一群后面的感谢 2014-7-16 20:04 0
bluesming 雪币： 1737 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	bluesming 11 楼楼主幸苦不明觉厉 2014-7-17 11:33 0
flyliying 雪币： 111 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 12 楼 77张图片，辛苦了 2014-7-19 10:32 0
airbus 雪币： 244 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 13 楼楼主厉害啊.老菜鸟来支持 2014-7-21 11:01 0
小提提雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	小提提 14 楼学习了。。。。 2014-7-21 15:14 0
smysmysmy 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	smysmysmy 15 楼我潜了好多年了，看了安哥的教程不得不说，安哥真是为我等菜鸟提供了很好的教材，在这里真心谢谢安哥。 2014-7-21 21:29 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 16 楼都是从小鸟过来的,共同进步挺好... 2014-7-21 21:38 0
ID蝴蝶雪币： 437 活跃值： (309) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 281 粉丝 0 关注私信	ID蝴蝶 1 17 楼谢了，LZ有劳了。 2014-8-13 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

安于此生

103

发帖

2020

回帖

1760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 2 楼 ,77张图片传的偶眼冒金星... ,要是坛子的编辑功能能像Discuz！论坛那样可以节省多少时间呀... 2014-7-13 16:56 0
hackcq 雪币： 756 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	hackcq 3 楼楼主辛苦了！ 2014-7-13 18:51 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 4 楼占位~~~~ lz辛苦了 2014-7-13 18:55 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 5 楼看了下lz的译文，很详细，收下了，但是有几个错误要指出。 fb → Lead0 比较两个字符串 30 → EqStr 比较两个字符串(与Lead0配合使用) 2f → FFree1Str 释放内存空间 1a → FFree1Ad 释放内存空间 0f → VCallAd 通过虚拟机运行操作码 1c → BranchF 条件跳转指令,如果栈顶的值为false则跳转(相当于汇编指令JNE/JNZ) 1d → BranchT 条件跳转指令,如果栈顶的值为true则跳转(相当于汇编指令JE/JZ) 1e → Branch 无条件跳转(嘿嘿,相当于汇编指令JMP) fc → Lead1 终止程序 vb p-code指令中Lead0、Lead1、Lead2、Lead3、Lead4是没有意义的，具体意义要看后一个操作码。 VB 的p-code是按byte取操作码执行的，那样的话就只有256中操作符可供使用了。但是p-code有1000多条指令，256条肯定是不够的，所以就出现Lead（引导）指令。这里觉得叫Lead指令为扩展指令比较贴切。首先简单说明一下p-code指令格式： <标准指令前缀> [扩展指令前缀] [定参] [变参] 定参: 固定参数变参: 可变参数当vb虚拟机(vbvm)开始取指令时，是按照指令前缀来进行操作的。标准指令前缀为1个字节。当指令前缀范围在0xFB~0xFF(Lead0=0xFB,Lead1=0xFC,Lead2=0xFD,Lead3=0xFE,Lead4=0xFF) 范围内时，存在扩展指令前缀(1 Byte)，取得了指令前缀仅仅是知道了定参的格式。变参是根据定参来定义的。参考Semi VB Decompiler 的源码，有部分指令的指令大小被设置成-1。这种指令就存在变参。对于有变参的指令来说，其定参是固定的，为1个WORD。这个WORD描述的是紧随其后的变参的大小(长度)，是以字节为单位的。但是正常情况下该定参永远不会是奇数。因为变参实际上是一个WORD数组，vbvm一般是释放数组所表示的内存指针。另外在MSVBVM60.dll中，有6张跳转表。分别是： std [256] lead0 [256] lead1 [256] lead2 [256] lead3 [256] lead4 [71] std就是标准指令前缀。当标准指令前缀范围在0xFB~0xFF范围时，取扩展指令前缀。并跳转到扩展指令跳转表里。 2014-7-13 19:42 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 6 楼感谢bxc兄的指正,文中已更正... bxc兄对P-CODE很有研究啊... 2014-7-13 19:53 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 7 楼没有啦，就是最近在搞p-code相关的东西，把VB的源码翻译成C++的，快恶心吐了 2014-7-13 19:56 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 8 楼 ,好犀利的赶脚... 2014-7-13 19:57 0
bxc 雪币： 7081 活跃值： (3608) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 9 楼没多犀利搞了快半年了，还没整出来。。 2014-7-13 20:08 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 10 楼楼主辛苦了，七十七张图换了可能是一群后面的感谢 2014-7-16 20:04 0
bluesming 雪币： 1737 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	bluesming 11 楼楼主幸苦不明觉厉 2014-7-17 11:33 0
flyliying 雪币： 111 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 12 楼 77张图片，辛苦了 2014-7-19 10:32 0
airbus 雪币： 244 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 13 楼楼主厉害啊.老菜鸟来支持 2014-7-21 11:01 0
小提提雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	小提提 14 楼学习了。。。。 2014-7-21 15:14 0
smysmysmy 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	smysmysmy 15 楼我潜了好多年了，看了安哥的教程不得不说，安哥真是为我等菜鸟提供了很好的教材，在这里真心谢谢安哥。 2014-7-21 21:29 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 16 楼都是从小鸟过来的,共同进步挺好... 2014-7-21 21:38 0
ID蝴蝶雪币： 437 活跃值： (309) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 281 粉丝 0 关注私信	ID蝴蝶 1 17 楼谢了，LZ有劳了。 2014-8-13 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复