没加壳，查找不到字符串，TextOut函数也断不下来-经典问答-看雪-安全社区|安全招聘|kanxue.com

没加壳，查找不到字符串，TextOut函数也断不下来

发表于: 2012-7-15 19:31 8919

没加壳，查找不到字符串，TextOut函数也断不下来

吖吖狼

2012-7-15 19:31

8919

朋友发来一个软件，VC++的程序，没有加壳，整个界面都是自绘的，标题栏上有“Trail Version”字样，怎么也找不到该字符串

，试了如下方法：
1、OD载入，搜索字符串，找不到。
2、IDA载入，shift+F12，搜索字符串，找不到。
3、用UltraEdit打开该程序，搜索字符串，找不到。
4、OD载入，对TextOut和DrawText函数下断，界面上其它的字符串都能断下来，唯独“Trail Version”这个字符串没有，不知是不是没有用此函数，难道窗口自绘的时候还有其它函数？

实在没办法了，恳请各位大大们指点一下小弟，哪怕一点思路也好，多谢多谢～～～

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (21)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼首先判断这个是字符吗？会不会是图片？字符串搜索也可以试一试C32asm，有两种搜索模式，普通的不行，换换Unicode模式试一试也有可能这个字符串是加密存储的，比如简单点的用base64，复杂点的是自己写一段加解密代码，如果判断程序未注册，就运行解密代码解密出该字符串到程序标题考虑SetWindowText或者SendMessage等等API看看或者换个思路，不是所有程序逆向突破都是从搜索字串开始的 2012-7-15 19:53 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 3 楼 ExtTextOut呢？ 2012-7-15 20:56 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 4 楼用PE Explorer之类的工具看过，除了程序图标以外再找不到其它的图片。刚刚用C32asm和W32asm都试用了，Unicode的也试了，还是找不到。因为是GDI绘图的（用sky++查看，整个程序就是一个控件，上面的按钮什么的都查不出来），SetWindowText和SendMessage都没调用，输入表里也找不到这两个函数的引用。我的目的是去掉这串字符串，或者不让它显示，这个程序的试用版除了会显示这个字符串外，再没有别的提示，所以没有线索，只能去找字符串，却又找不到，那就对DrawText和TextOut下断吧，又断不下来，实在不明白这串字符串到底是以什么形式展示的。。。 2012-7-15 21:29 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 5 楼 ExtTextOut也断不下来，输入表里也没有。。。 2012-7-15 21:30 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 6 楼实在不行就自己写个小程序，捆绑一下。Findwindow然后Setwindowtext你想让他显示的…… 2012-7-15 23:39 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 7 楼我在怀疑标题是不是一张图片。。。 2012-7-16 00:01 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 8 楼这串字符串位于标题栏的正中位置，与程序的caption是分离的，标题栏也是GDI自绘的，SetWindowText没用。。。 2012-7-16 00:35 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 9 楼我也怀疑是图片，可是资源中又找不到，怎么确定到底是不是图片呢？有办法不？ 2012-7-16 00:37 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 10 楼标题是CreateWindow或SetWindowText设的，不用DrawText和TextOut 2012-7-16 02:21 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 11 楼你截个图看看。。。 2012-7-16 08:57 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 12 楼呵呵，再仔细调试一下吧~~ 2012-7-16 09:41 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 13 楼还是直接上软件吧？这样别人可以帮你调试看看。 2012-7-16 10:21 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 14 楼刚搞明白了一点，程序是用DirectUI做的界面。。。 2012-7-16 12:31 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 15 楼怎么办啊？找不到线索，哪位大牛能指点一下啊。。。 2012-7-17 09:12 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 16 楼没有软件叫我怎么帮你？ 2012-7-17 09:29 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 17 楼已上传附件，谢谢。。。 2012-7-17 15:41 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 18 楼没有高手可以指点一下么？ 2012-7-19 10:13 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 19 楼 1001453A push ebp ==> 1001453A jmp 10014540 2012-7-19 17:14 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 20 楼高手，怎么找到这儿的？求思路，跪谢～～～ 2012-7-19 19:46 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 21 楼貌似是有个.js的文件，然后把那个删了，就不会显示那行字了..这就是思路了^_^ 然后我就去那附近找，总共好像也就十多二十个call，剩下的就一个一个试。至于那个Trail Version怎么出来的，就要看那个1001453A下面call了，里面还有很多东西，但是我看不懂，所以就不看了.. 2012-7-19 22:00 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 22 楼多谢～～～～ 2012-7-20 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

吖吖狼

发帖

回帖

RANK

关注

私信

他的文章

没加壳，查找不到字符串，TextOut函数也断不下来 8920

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼首先判断这个是字符吗？会不会是图片？字符串搜索也可以试一试C32asm，有两种搜索模式，普通的不行，换换Unicode模式试一试也有可能这个字符串是加密存储的，比如简单点的用base64，复杂点的是自己写一段加解密代码，如果判断程序未注册，就运行解密代码解密出该字符串到程序标题考虑SetWindowText或者SendMessage等等API看看或者换个思路，不是所有程序逆向突破都是从搜索字串开始的 2012-7-15 19:53 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 3 楼 ExtTextOut呢？ 2012-7-15 20:56 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 4 楼用PE Explorer之类的工具看过，除了程序图标以外再找不到其它的图片。刚刚用C32asm和W32asm都试用了，Unicode的也试了，还是找不到。因为是GDI绘图的（用sky++查看，整个程序就是一个控件，上面的按钮什么的都查不出来），SetWindowText和SendMessage都没调用，输入表里也找不到这两个函数的引用。我的目的是去掉这串字符串，或者不让它显示，这个程序的试用版除了会显示这个字符串外，再没有别的提示，所以没有线索，只能去找字符串，却又找不到，那就对DrawText和TextOut下断吧，又断不下来，实在不明白这串字符串到底是以什么形式展示的。。。 2012-7-15 21:29 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 5 楼 ExtTextOut也断不下来，输入表里也没有。。。 2012-7-15 21:30 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 6 楼实在不行就自己写个小程序，捆绑一下。Findwindow然后Setwindowtext你想让他显示的…… 2012-7-15 23:39 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 7 楼我在怀疑标题是不是一张图片。。。 2012-7-16 00:01 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 8 楼这串字符串位于标题栏的正中位置，与程序的caption是分离的，标题栏也是GDI自绘的，SetWindowText没用。。。 2012-7-16 00:35 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 9 楼我也怀疑是图片，可是资源中又找不到，怎么确定到底是不是图片呢？有办法不？ 2012-7-16 00:37 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 10 楼标题是CreateWindow或SetWindowText设的，不用DrawText和TextOut 2012-7-16 02:21 0
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 11 楼你截个图看看。。。 2012-7-16 08:57 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 12 楼呵呵，再仔细调试一下吧~~ 2012-7-16 09:41 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 13 楼还是直接上软件吧？这样别人可以帮你调试看看。 2012-7-16 10:21 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 14 楼刚搞明白了一点，程序是用DirectUI做的界面。。。 2012-7-16 12:31 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 15 楼怎么办啊？找不到线索，哪位大牛能指点一下啊。。。 2012-7-17 09:12 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 16 楼没有软件叫我怎么帮你？ 2012-7-17 09:29 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 17 楼已上传附件，谢谢。。。 2012-7-17 15:41 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 18 楼没有高手可以指点一下么？ 2012-7-19 10:13 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 19 楼 1001453A push ebp ==> 1001453A jmp 10014540 2012-7-19 17:14 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 20 楼高手，怎么找到这儿的？求思路，跪谢～～～ 2012-7-19 19:46 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 21 楼貌似是有个.js的文件，然后把那个删了，就不会显示那行字了..这就是思路了^_^ 然后我就去那附近找，总共好像也就十多二十个call，剩下的就一个一个试。至于那个Trail Version怎么出来的，就要看那个1001453A下面call了，里面还有很多东西，但是我看不懂，所以就不看了.. 2012-7-19 22:00 0
吖吖狼雪币： 323 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	吖吖狼 22 楼多谢～～～～ 2012-7-20 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复