首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [已解决]该VB程序如何下断点? 0.00雪花
发表于: 2011-1-6 10:04 1188

[旧帖] [已解决]该VB程序如何下断点? 0.00雪花

sonjab 活跃值
2011-1-6 10:04
1188
我在本站搜索了一下,我试过以下几个,能断下来,没能找到我想要的或有的跑到领空

bp __vbaStrCmp 比较字符串是否相等
bp __vbaStrComp 比较字符串是否相等
bp __vbaVarTstNe 比较变量是否不相等
bp __vbaVarTstEq 比较变量是否相等

请给点提示,谢谢

==========================================

在此感谢大家的热情帮助,特别是bbyl 朋友的热情帮助,祝好人一生平安!!!

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (9)
pencil
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
私信
2
vb-pcode的程序得用WKTVBDebugger来调
2011-1-6 11:12
0
bbyl
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
程序存在内存明码,自己跟一下到MSVBVM60.dll中能看到明码,我电脑对应的明码为:88014437

注册后界面如下:
上传的附件:
2011-1-6 13:29
0
sonjab
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢提示,麻烦粗略说说跟踪的步骤好吗
2011-1-6 13:41
0
bbyl
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
呵呵!变相XX
那就提示一下吧:
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar

跟进至MSVBVM60.dll领空中
6610206A   /FF2495 E0201066 jmp     dword ptr [edx*4+661020E0]       ; MSVBVM60.66102071
66102071   \8B46 08         mov     eax, dword ptr [esi+8]
66102074    85C0            test    eax, eax

下断后,多几次F9,就可以看到明码啦!
2011-1-6 13:59
0
sonjab
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
[QUOTE=bbyl;912097]呵呵!变相XX
那就提示一下吧:
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar

跟进至MSVBVM60.dll领空中
6610206A   /FF...[/QUOTE]

好的,谢谢,我试试
2011-1-6 14:01
0
sonjab
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
[QUOTE=bbyl;912097]呵呵!变相XX
那就提示一下吧:
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar

跟进至MSVBVM60.dll领空中
6610206A   /FF...[/QUOTE]

我也跟到了,我的注册码是:63730081,但我有一点不明白是您是如何让它断在这个关键跳004A75D2?
2011-1-6 14:21
0
bbyl
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
有提示字符啦!
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar
004A75D8   .  66:85F6       test    si, si
004A75DB      0F84 D1000000 je      004A76B2
004A75E1   .  8B35 44124000 mov     esi, dword ptr [<&MSVBVM60.__vba>;  MSVBVM60.__vbaVarDup
004A75E7   .  B9 04000280   mov     ecx, 80020004
004A75EC   .  898D 58FFFFFF mov     dword ptr [ebp-A8], ecx
004A75F2   .  B8 0A000000   mov     eax, 0A
004A75F7   .  898D 68FFFFFF mov     dword ptr [ebp-98], ecx
004A75FD   .  BF 08000000   mov     edi, 8
004A7602   .  8D95 30FFFFFF lea     edx, dword ptr [ebp-D0]
004A7608   .  8D8D 70FFFFFF lea     ecx, dword ptr [ebp-90]
004A760E   .  8985 50FFFFFF mov     dword ptr [ebp-B0], eax
004A7614   .  8985 60FFFFFF mov     dword ptr [ebp-A0], eax
004A761A   .  C785 38FFFFFF>mov     dword ptr [ebp-C8], 0040DBF8
004A7624   .  89BD 30FFFFFF mov     dword ptr [ebp-D0], edi
004A762A   .  FFD6          call    esi                              ;  <&MSVBVM60.__vbaVarDup>
004A762C   .  8D95 40FFFFFF lea     edx, dword ptr [ebp-C0]
004A7632   .  8D4D 80       lea     ecx, dword ptr [ebp-80]
004A7635   .  C785 48FFFFFF>mov     dword ptr [ebp-B8], 0040EFF8     ;  对不起,注册码错误,请仔细检查!
004A763F   .  89BD 40FFFFFF mov     dword ptr [ebp-C0], edi

我想你应该明白了吧!
2011-1-6 14:46
0
sonjab
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
[QUOTE=bbyl;912121]有提示字符啦!
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar
004A75D8   .  66:85F6       test    si, si
00...[/QUOTE]

懂了,谢谢。。。。。我想我再重新回味一下,以便抓住这个感觉
2011-1-6 15:34
0
sonjab
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
[QUOTE=bbyl;912121]有提示字符啦!
004A75D2   .  FF15 20104000 call    dword ptr [<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVar
004A75D8   .  66:85F6       test    si, si
00...[/QUOTE]

你好,我重复操作了N遍,都没有跟到004A75D2这里来,不过我用VB APIs 中的rtcMsgBox下断点,就直接停在660EAB74 >  55              PUSH EBP
虽然显示领空,但在右下角明显看到正确的注册码。
2011-1-7 16:36
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//