[原创]关于OD找不到字符串的解决方法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]关于OD找不到字符串的解决方法 0.00雪花

发表于: 2013-7-6 19:02 11694

[旧帖] [原创]关于OD找不到字符串的解决方法 0.00雪花

rone

2013-7-6 19:02

11694

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费・5

支持

最新回复 (20)
jxrbwwp 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 0 关注私信	jxrbwwp 2 楼我也是很早就注册，一直没有转正 2013-7-6 20:42 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 3 楼好吧。。。看日期貌似是2013年4月注册的。。。还是这个是马甲？ 2013-7-6 23:18 0
灵魂出窍雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	灵魂出窍 4 楼哈哈都是同道中人啊 2013-7-7 09:54 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼学习分享的态度很重要，邀请码只是个形式。己补促了你的kx，可以自行购买邀请码转正了。 2013-7-7 10:01 0
bypeng 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	bypeng 6 楼一般都是Ctrl+B内存中查找然后找不着就没办法了哈哈 2013-7-9 21:31 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 7 楼版主，也给我补点吧，在求助问答回答东西，他们都不结贴啊！楼主自从提问就消失了！本贴楼主的问题，得到字符串问题其实现在很多软件不用ascii，od的插件只扫描字符串段（code段和bss全局段之间），很多人把字符串内容放到了资源中，我感觉如果为了破解软件的话，去看字符串不是好方法（不过是高效的方法），使用button，edit，timer等动动，拦截消息还是比较快点bp TranslateMessage ……getmessage 2013-7-9 22:12 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 8 楼本人不才，但虚心学习，那如果字符串放在资源咋整啊。。能说说方法不。。。。 2013-7-9 22:33 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 9 楼其实呢，如果只是为了防止别人查看字符串，可以把文本放到lib文件中，或者创建个文件，将字节 x 2的形式存放（也就是为了加密，也过大于乘结果大于FF就不做处理，反之），或者放到dll文件中，动态读取，方法很多，个人感觉通过字符串破解不是太好的方法，我喜欢放一个label控件，将所有内容放到里面，然后以行的形式读取（放label控件方便），这样，字符串内容并不在字符串段，个人的一点烂方法，不知道搬的上台不！ 2013-7-10 08:28 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 10 楼谢谢楼上指导。。。再问一个问题～～～如果放在label在内存中可以搜索得到怎么办呢？ 2013-7-10 12:14 0
sirofkx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 49 粉丝 0 关注私信	sirofkx 11 楼程序断在了MessageBox函数上，堆栈里有两个字符地址。奇怪，一个上面有数据跟随的选项（对话框中的汉字），一个没有数据跟随的选项（对话框标题上的汉字）。给我指点指点。我想修改对话框标题上的字。 2013-7-10 15:18 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 12 楼替换字符串指针即可！ push [ebp + 14] push [ebp + 0x10] ///"Caption" push [ebp + 0xc] ///"Text" push [ebp + 0x8] 2013-7-10 16:23 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 13 楼使用label的话字符串得到的指针使用栈地址保存，使用ce应该是搜索不到的！（有方法可以说说）下面是我自己写的一个用label读取的！我自己看的情况是，内容并不在字符串区，内容也是动态读取的！使用插件搜索不到！ Memory map, item 36 Address=00D50000 Size=00004000 (16384.) Owner= 00D50000 (itself) Section= Type=Priv 00021004 Access=RW Initial access= Stack ss:[0012F5F0]=00D52614, (ASCII "Label1") eax=00000006 0044F0C8 /. 55 push ebp 0044F0C9 \|. 8BEC mov ebp, esp 0044F0CB \|. 6A 00 push 0x0 0044F0CD \|. 53 push ebx 0044F0CE \|. 8BD8 mov ebx, eax 0044F0D0 \|. 33C0 xor eax, eax 0044F0D2 \|. 55 push ebp 0044F0D3 \|. 68 19F14400 push 0044F119 0044F0D8 \|. 64:FF30 push dword ptr fs:[eax] 0044F0DB \|. 64:8920 mov dword ptr fs:[eax], esp 0044F0DE \|. 6A 00 push 0x0 0044F0E0 \|. 68 24F14400 push 0044F124 0044F0E5 \|. 8D55 FC lea edx, dword ptr [ebp-0x4] 0044F0E8 \|. 8B83 F8020000 mov eax, dword ptr [ebx+0x2F8] 0044F0EE \|. E8 75F0FDFF call 0042E168 0044F0F3 \|. 8B45 FC mov eax, dword ptr [ebp-0x4] 0044F0F6 \|. E8 A555FBFF call 004046A0 0044F0FB \|. 50 push eax ; \|Text 0044F0FC \|. 6A 00 push 0x0 ; \|hOwner = NULL 0044F0FE \|. E8 5178FBFF call <jmp.&user32.MessageBoxA> ; \MessageBoxA 0044F103 \|. 33C0 xor eax, eax 0044F105 \|. 5A pop edx 0044F106 \|. 59 pop ecx 0044F107 \|. 59 pop ecx 0044F108 \|. 64:8910 mov dword ptr fs:[eax], edx 0044F10B \|. 68 20F14400 push 0044F120 0044F110 \|> 8D45 FC lea eax, dword ptr [ebp-0x4] 0044F113 \|. E8 C850FBFF call 004041E0 0044F118 \. C3 retn 信息框的标题是 NULL，内容是Label 2013-7-10 16:33 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 14 楼刚刚测试标签可以用ctrl+b在堆栈窗口中找到。。。。 …………不知道是不是我找的例子不正确 2013-7-10 16:36 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 15 楼在控件存放初始内容区确实可以搜索的到！加密存储？好像很麻烦的样子！还是用lib或者调用文件加密存储好了！先将所有要处理的文本加密写到一个文件！主程序内解密调用！更新的话也会方便很多！ 2013-7-10 16:48 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 16 楼嗯。。。就是算法有点麻烦。。。举个例子： http://bbs.pediy.com/showthread.php?t=174796 的4楼。。。这个CrackMe就是类似东东。。中文拆分开存放。。。读取是一个个读取。。。最纠结的就是这个。。。。 2013-7-10 16:54 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 17 楼还是找一个强壳吓唬吓唬人得了！或者找一个好点的算法调用也不麻烦！一般大神们看不到字符串直接就另走其他路了，不可能一直来通过字符串...... 如果只是为了破解一个控件事件，拦截消息是最好的！ 2013-7-10 17:20 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 18 楼嗯。。。加强壳是通用方式。。。。但是。我只是想通过自己能力达到加密解密 2013-7-10 18:02 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 19 楼检测断点，hook dbgbreakpoint gbgxxx xxxxxxx 一堆函数，修改默认dll加载标，少用通用函数（别人猜的到的），关键函数在线程中处理然后kill，vmp加花，乱七八糟一大堆，反正让软件的执行速度降下来，那么加密就做的“牛”了！个人感觉，稍微做点措施就可以了，可以防止普通人破解即可，大神不好防！ 2013-7-10 22:56 0
知乐君子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	知乐君子 20 楼明天看能不能转正,嘻嘻 2013-11-5 12:01 0
陈志忠雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	陈志忠 21 楼我还不是一样。。 2013-12-5 12:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rone

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
jxrbwwp 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 0 关注私信	jxrbwwp 2 楼我也是很早就注册，一直没有转正 2013-7-6 20:42 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 3 楼好吧。。。看日期貌似是2013年4月注册的。。。还是这个是马甲？ 2013-7-6 23:18 0
灵魂出窍雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	灵魂出窍 4 楼哈哈都是同道中人啊 2013-7-7 09:54 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼学习分享的态度很重要，邀请码只是个形式。己补促了你的kx，可以自行购买邀请码转正了。 2013-7-7 10:01 0
bypeng 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	bypeng 6 楼一般都是Ctrl+B内存中查找然后找不着就没办法了哈哈 2013-7-9 21:31 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 7 楼版主，也给我补点吧，在求助问答回答东西，他们都不结贴啊！楼主自从提问就消失了！本贴楼主的问题，得到字符串问题其实现在很多软件不用ascii，od的插件只扫描字符串段（code段和bss全局段之间），很多人把字符串内容放到了资源中，我感觉如果为了破解软件的话，去看字符串不是好方法（不过是高效的方法），使用button，edit，timer等动动，拦截消息还是比较快点bp TranslateMessage ……getmessage 2013-7-9 22:12 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 8 楼本人不才，但虚心学习，那如果字符串放在资源咋整啊。。能说说方法不。。。。 2013-7-9 22:33 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 9 楼其实呢，如果只是为了防止别人查看字符串，可以把文本放到lib文件中，或者创建个文件，将字节 x 2的形式存放（也就是为了加密，也过大于乘结果大于FF就不做处理，反之），或者放到dll文件中，动态读取，方法很多，个人感觉通过字符串破解不是太好的方法，我喜欢放一个label控件，将所有内容放到里面，然后以行的形式读取（放label控件方便），这样，字符串内容并不在字符串段，个人的一点烂方法，不知道搬的上台不！ 2013-7-10 08:28 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 10 楼谢谢楼上指导。。。再问一个问题～～～如果放在label在内存中可以搜索得到怎么办呢？ 2013-7-10 12:14 0
sirofkx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 49 粉丝 0 关注私信	sirofkx 11 楼程序断在了MessageBox函数上，堆栈里有两个字符地址。奇怪，一个上面有数据跟随的选项（对话框中的汉字），一个没有数据跟随的选项（对话框标题上的汉字）。给我指点指点。我想修改对话框标题上的字。 2013-7-10 15:18 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 12 楼替换字符串指针即可！ push [ebp + 14] push [ebp + 0x10] ///"Caption" push [ebp + 0xc] ///"Text" push [ebp + 0x8] 2013-7-10 16:23 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 13 楼使用label的话字符串得到的指针使用栈地址保存，使用ce应该是搜索不到的！（有方法可以说说）下面是我自己写的一个用label读取的！我自己看的情况是，内容并不在字符串区，内容也是动态读取的！使用插件搜索不到！ Memory map, item 36 Address=00D50000 Size=00004000 (16384.) Owner= 00D50000 (itself) Section= Type=Priv 00021004 Access=RW Initial access= Stack ss:[0012F5F0]=00D52614, (ASCII "Label1") eax=00000006 0044F0C8 /. 55 push ebp 0044F0C9 \|. 8BEC mov ebp, esp 0044F0CB \|. 6A 00 push 0x0 0044F0CD \|. 53 push ebx 0044F0CE \|. 8BD8 mov ebx, eax 0044F0D0 \|. 33C0 xor eax, eax 0044F0D2 \|. 55 push ebp 0044F0D3 \|. 68 19F14400 push 0044F119 0044F0D8 \|. 64:FF30 push dword ptr fs:[eax] 0044F0DB \|. 64:8920 mov dword ptr fs:[eax], esp 0044F0DE \|. 6A 00 push 0x0 0044F0E0 \|. 68 24F14400 push 0044F124 0044F0E5 \|. 8D55 FC lea edx, dword ptr [ebp-0x4] 0044F0E8 \|. 8B83 F8020000 mov eax, dword ptr [ebx+0x2F8] 0044F0EE \|. E8 75F0FDFF call 0042E168 0044F0F3 \|. 8B45 FC mov eax, dword ptr [ebp-0x4] 0044F0F6 \|. E8 A555FBFF call 004046A0 0044F0FB \|. 50 push eax ; \|Text 0044F0FC \|. 6A 00 push 0x0 ; \|hOwner = NULL 0044F0FE \|. E8 5178FBFF call <jmp.&user32.MessageBoxA> ; \MessageBoxA 0044F103 \|. 33C0 xor eax, eax 0044F105 \|. 5A pop edx 0044F106 \|. 59 pop ecx 0044F107 \|. 59 pop ecx 0044F108 \|. 64:8910 mov dword ptr fs:[eax], edx 0044F10B \|. 68 20F14400 push 0044F120 0044F110 \|> 8D45 FC lea eax, dword ptr [ebp-0x4] 0044F113 \|. E8 C850FBFF call 004041E0 0044F118 \. C3 retn 信息框的标题是 NULL，内容是Label 2013-7-10 16:33 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 14 楼刚刚测试标签可以用ctrl+b在堆栈窗口中找到。。。。 …………不知道是不是我找的例子不正确 2013-7-10 16:36 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 15 楼在控件存放初始内容区确实可以搜索的到！加密存储？好像很麻烦的样子！还是用lib或者调用文件加密存储好了！先将所有要处理的文本加密写到一个文件！主程序内解密调用！更新的话也会方便很多！ 2013-7-10 16:48 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 16 楼嗯。。。就是算法有点麻烦。。。举个例子： http://bbs.pediy.com/showthread.php?t=174796 的4楼。。。这个CrackMe就是类似东东。。中文拆分开存放。。。读取是一个个读取。。。最纠结的就是这个。。。。 2013-7-10 16:54 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 17 楼还是找一个强壳吓唬吓唬人得了！或者找一个好点的算法调用也不麻烦！一般大神们看不到字符串直接就另走其他路了，不可能一直来通过字符串...... 如果只是为了破解一个控件事件，拦截消息是最好的！ 2013-7-10 17:20 0
rone 雪币： 16 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	rone 18 楼嗯。。。加强壳是通用方式。。。。但是。我只是想通过自己能力达到加密解密 2013-7-10 18:02 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 19 楼检测断点，hook dbgbreakpoint gbgxxx xxxxxxx 一堆函数，修改默认dll加载标，少用通用函数（别人猜的到的），关键函数在线程中处理然后kill，vmp加花，乱七八糟一大堆，反正让软件的执行速度降下来，那么加密就做的“牛”了！个人感觉，稍微做点措施就可以了，可以防止普通人破解即可，大神不好防！ 2013-7-10 22:56 0
知乐君子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	知乐君子 20 楼明天看能不能转正,嘻嘻 2013-11-5 12:01 0
陈志忠雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	陈志忠 21 楼我还不是一样。。 2013-12-5 12:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复