首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. ¥付费问答
    3. 发新帖
[旧帖] crack新手问几个问题 0.00雪花
2010-12-17 12:13 3904

[旧帖] crack新手问几个问题 0.00雪花

badboynt 活跃值
2010-12-17 12:13
3904
初学crack,看了一些论坛里的教程,也尝试了几个非常简单的crackme,但是有一些问题没有搞明白.
在ollydbg中,使用查看窗口可以看到所有的窗口.od中有个功能,跟随到classproc,我的理解是跟随到其在窗口类中注册的回调函数,也就是消息处理函数,在这里下断大部分情况下就可以断到关键处,而且父窗口和子窗口有可能有不同的消息处理函数,下断的时候也要注意区别,不知道这样理解对不对?另外有时候还有个跟随到winproc,它和classproc有什么联系和区别?

另外在http://bbs.pediy.com/showthread.php?t=98274中讲到的万能消息断点函数user32.InternalCallWinProc,为什么我在我的user32.dll中找不到这个函数呢?难道是因为xp sp3的原因?

阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

收藏
点赞0
打赏
分享
最新回复 (5)
游戏蛀虫
雪    币: 204
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
游戏蛀虫 2010-12-17 12:55
2
0
每次装系统的时候这个地址都要变,每次装了都要重新找。
可以2种方法找到。
1,自己搞个程序,得到消息处理的地方。然后跟到 USER32.DLL模块去
2,直接搜索代码  在USER32.DLL里面搜  MOV EAX,DWORD PTR FS:[18]  
不一定一次就找到哈。找到满足下面几条指令的地方就多半都是了

77D18718    FF75 18         PUSH DWORD PTR SS:[EBP+18]
77D1871B    FF75 14         PUSH DWORD PTR SS:[EBP+14]
77D1871E    FF75 10         PUSH DWORD PTR SS:[EBP+10]
77D18721    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77D18724    64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
77D1872A    8088 B40F0000 0>OR BYTE PTR DS:[EAX+FB4],1
77D18731    FF55 08         CALL DWORD PTR SS:[EBP+8]
badboynt
雪    币: 692
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
badboynt 2010-12-17 22:35
3
0
谢谢楼上哈,我先试试 但是user32.InternalCallWinProc这个函数为什么在user32.dll中的导出表里找不到呢?
yjd
雪    币: 2879
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
yjd 2010-12-18 00:33
4
0
谢谢楼上哈,我先试试 但是user32.InternalCallWinProc这个函数为什么在user32.dll中的导出表里找不到呢?

直接下od插件省得找啊。
顺便发上来吧
ApiBreak.rar
上传的附件:
badboynt
雪    币: 692
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
badboynt 2010-12-18 22:46
5
0
楼上的两位,那个函数我找到了,地址确实各个系统都不一样,而且也并没有出现在导出表里,只能自己手动找.那个breakapi的插件也挺好用的,把常用的api都列出来了,虽然万能断点的地址在我的系统里并不适用.  要不你们谁回答了我其他的问题,我就把kx给谁吧^_^
我本
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
我本 2010-12-22 10:03
6
0


xx  学习
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回