[原创]用特征码秒杀各程序语言按钮事件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]用特征码秒杀各程序语言按钮事件

发表于: 2010-10-30 13:43 38100

[原创]用特征码秒杀各程序语言按钮事件

hellotong

2010-10-30 13:43

38100

作者：小童
工具：OllyDbg、Delphi程序一个、易语言程序一个、MFC程序一个
-----------------------------------------------------------------------------
-----------------------------------------------------------------------------
《《《Delphi程序》》》
特征码：FF 93 20 01 00 00 5B C3 53
-----------------------------------------------------------------------------
《《《易语言程序》》》
特征码：FF 55 FC 5F 5E 89 5D F4
特征码来源：krnln.fnr
-----------------------------------------------------------------------------
《《《MFC程序》》》
RELEASE
特征码：FF 55 14 EB 7F FF 75 0C
特征码来源：MFC42.DLL
DEBUG
特征码：FF 55 FC E9 48 04 00 00 33 C9
特征码来源：MFC42D.DLL
-----------------------------------------------------------------------------
使用方法：OD载入程序---F9运行---Alt+M打开内存镜像---Ctrl+B搜索特征码---Ctrl+G跳到找到的地址---F2下断---点击按钮---断下后F7进入CALL（此处即为事件代码）
说明：对于Delphi程序和易语言程序，根据目前测试的情况来看，都是一击必杀，例无虚发
　　　对于MFC程序只取了VC++6.0的特征码
　　　易语言程序下断后，可能界面没出来就断下了，这是因为断下的是[启动窗口创建完毕事件]或[时钟周期事件]
-----------------------------------------------------------------------------
-----------------------------------------------------------------------------
欢迎暴力测试，有问题楼下说明！

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・73

免费・7

支持

最新回复 (45) 1 2 ▶
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 2 楼易语言没用过,VC的有人发过。 2010-10-30 13:48 0
hellotong 雪币： 258 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 72 粉丝 3 关注私信	hellotong 1 3 楼对啊，就是用那个原理找到的 2010-10-30 14:03 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 4 楼我也贡献下：得到按钮响应函数地址的方法： 1、在MFC42.DLL的偏移0x23BA处下断点，进入这个函数后，遇见的第一个CALL就是进入程序空间 2、下消息断点 WinDbg中的断点: MFC程序： bp User32!IsDialogMessageA ".if( poi( poi(esp+8) ) == 控件的句柄 and poi( poi(esp+8) + 4 ) == WM_LBUTTONUP ){}.else{gc}" OD中的断点: vc bp IsDialogMessageA [[esp+8]]==控件的句柄 && [[esp+8]+4]==WM_LBUTTONUP VB, Delphi, CBuilder bp CallWindowProcA [esp+8]==控件的句柄 && [esp+0c]==WM_LBUTTONUP 2010-12-25 00:53 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 5 楼在OD中的消息断点，断下来后，在可执行程序的代码断设置访问内存断点，然后F9，注意观察内存断点停下来的地方，多次F9后，就可以看到按钮响应函数了 2010-12-25 00:56 0
vfdn 雪币： 124 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	vfdn 6 楼不错。DX里面的按钮通用吗 2010-12-25 15:16 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 7 楼这么牛~~~试试 2010-12-25 15:23 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 8 楼这些是目前我收集到最全的了。还有的继续补充。我顺便收藏附件：调试按钮事件.rar 上传的附件： 008.PNG （23.65kb，2101次下载） 009.PNG （18.59kb，2091次下载）调试按钮事件.rar （372.17kb，745次下载） 2010-12-26 13:45 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 9 楼感谢8楼提供的工具~！！！感谢楼主提供的方法！ 2010-12-26 17:18 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 10 楼感谢分享，学习下 2010-12-26 18:17 0
idsin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	idsin 11 楼谢谢 2011-3-6 19:51 0
金华雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	金华 12 楼感谢8楼提供资料！ 2011-3-10 20:16 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 13 楼现在的易语言这个方法失效了 2011-3-15 17:36 0
V仔雪币： 244 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	V仔 14 楼正在找这方面的资料。谢谢大家了 2011-3-18 16:27 0
reggie 雪币： 695 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	reggie 15 楼不错，下下来学习一下，感谢8楼 2011-3-18 16:45 0
guitar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	guitar 16 楼谢谢提供的工具..我去试试~ 2011-3-26 22:09 0
junyuqin 雪币： 254 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	junyuqin 17 楼感谢8楼的工具、 2011-3-27 14:26 0
delphixxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	delphixxx 18 楼谢谢楼主分享 2011-3-29 16:12 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 19 楼下了8楼得资料，所以顶一下吧 2011-3-29 16:44 0
蓝色太阳雪币： 280 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	蓝色太阳 20 楼学习了，谢谢分享 2011-3-29 23:56 0
strongxu 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	strongxu 21 楼这个不错，MARK一下 2011-3-30 14:26 0
shiyun 雪币： 204 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	shiyun 22 楼系学习一下，感谢楼主 2011-3-30 23:58 0
shiyun 雪币： 204 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	shiyun 23 楼现在的mfc 程序好像是mfc71D 能找到特征码 sub eax，0a 7C14A335 696E 64 6F77206>imul ebp, dword ptr [esi+64], 6920776F 7C14A33C 6E outs dx, byte ptr es:[edi] 7C14A33D 2043 44 and byte ptr [ebx+44], al 7C14A340 6961 6C 6F673A3>imul esp, dword ptr [ecx+6C], 3A3A676F 7C14A347 7E 43 jle short 7C14A38C 7C14A349 44 inc esp 7C14A34A 6961 6C 6F67202>imul esp, dword ptr [ecx+6C], 2D20676F 7C14A351 2D 0A000000 sub eax, 0A 7C14A356 0000 add byte ptr [eax], al 7C14A358 57 push edi 7C14A359 61 popad 7C14A35A 72 6E jb short 7C14A3CA 7C14A35C 696E 67 3A20446>imul ebp, dword ptr [esi+67], 6944203A 7C14A363 61 popad 但下面的那个关键call 就没有了 2011-3-31 00:13 0
saya 雪币： 421 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	saya 24 楼不错，下下来学习一下，感谢 2011-3-31 14:44 0
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 25 楼 mark 一下。很有用的资料。 2011-4-1 08:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hellotong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 2 楼易语言没用过,VC的有人发过。 2010-10-30 13:48 0
hellotong 雪币： 258 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 72 粉丝 3 关注私信	hellotong 1 3 楼对啊，就是用那个原理找到的 2010-10-30 14:03 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 4 楼我也贡献下：得到按钮响应函数地址的方法： 1、在MFC42.DLL的偏移0x23BA处下断点，进入这个函数后，遇见的第一个CALL就是进入程序空间 2、下消息断点 WinDbg中的断点: MFC程序： bp User32!IsDialogMessageA ".if( poi( poi(esp+8) ) == 控件的句柄 and poi( poi(esp+8) + 4 ) == WM_LBUTTONUP ){}.else{gc}" OD中的断点: vc bp IsDialogMessageA [[esp+8]]==控件的句柄 && [[esp+8]+4]==WM_LBUTTONUP VB, Delphi, CBuilder bp CallWindowProcA [esp+8]==控件的句柄 && [esp+0c]==WM_LBUTTONUP 2010-12-25 00:53 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 5 楼在OD中的消息断点，断下来后，在可执行程序的代码断设置访问内存断点，然后F9，注意观察内存断点停下来的地方，多次F9后，就可以看到按钮响应函数了 2010-12-25 00:56 0
vfdn 雪币： 124 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	vfdn 6 楼不错。DX里面的按钮通用吗 2010-12-25 15:16 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 7 楼这么牛~~~试试 2010-12-25 15:23 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 8 楼这些是目前我收集到最全的了。还有的继续补充。我顺便收藏附件：调试按钮事件.rar 上传的附件： 008.PNG （23.65kb，2101次下载） 009.PNG （18.59kb，2091次下载）调试按钮事件.rar （372.17kb，745次下载） 2010-12-26 13:45 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 9 楼感谢8楼提供的工具~！！！感谢楼主提供的方法！ 2010-12-26 17:18 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 10 楼感谢分享，学习下 2010-12-26 18:17 0
idsin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	idsin 11 楼谢谢 2011-3-6 19:51 0
金华雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	金华 12 楼感谢8楼提供资料！ 2011-3-10 20:16 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 13 楼现在的易语言这个方法失效了 2011-3-15 17:36 0
V仔雪币： 244 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	V仔 14 楼正在找这方面的资料。谢谢大家了 2011-3-18 16:27 0
reggie 雪币： 695 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	reggie 15 楼不错，下下来学习一下，感谢8楼 2011-3-18 16:45 0
guitar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	guitar 16 楼谢谢提供的工具..我去试试~ 2011-3-26 22:09 0
junyuqin 雪币： 254 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	junyuqin 17 楼感谢8楼的工具、 2011-3-27 14:26 0
delphixxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	delphixxx 18 楼谢谢楼主分享 2011-3-29 16:12 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 19 楼下了8楼得资料，所以顶一下吧 2011-3-29 16:44 0
蓝色太阳雪币： 280 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	蓝色太阳 20 楼学习了，谢谢分享 2011-3-29 23:56 0
strongxu 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	strongxu 21 楼这个不错，MARK一下 2011-3-30 14:26 0
shiyun 雪币： 204 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	shiyun 22 楼系学习一下，感谢楼主 2011-3-30 23:58 0
shiyun 雪币： 204 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	shiyun 23 楼现在的mfc 程序好像是mfc71D 能找到特征码 sub eax，0a 7C14A335 696E 64 6F77206>imul ebp, dword ptr [esi+64], 6920776F 7C14A33C 6E outs dx, byte ptr es:[edi] 7C14A33D 2043 44 and byte ptr [ebx+44], al 7C14A340 6961 6C 6F673A3>imul esp, dword ptr [ecx+6C], 3A3A676F 7C14A347 7E 43 jle short 7C14A38C 7C14A349 44 inc esp 7C14A34A 6961 6C 6F67202>imul esp, dword ptr [ecx+6C], 2D20676F 7C14A351 2D 0A000000 sub eax, 0A 7C14A356 0000 add byte ptr [eax], al 7C14A358 57 push edi 7C14A359 61 popad 7C14A35A 72 6E jb short 7C14A3CA 7C14A35C 696E 67 3A20446>imul ebp, dword ptr [esi+67], 6944203A 7C14A363 61 popad 但下面的那个关键call 就没有了 2011-3-31 00:13 0
saya 雪币： 421 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	saya 24 楼不错，下下来学习一下，感谢 2011-3-31 14:44 0
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 25 楼 mark 一下。很有用的资料。 2011-4-1 08:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复