VB程序分析方法及修改例（“万能分析断点”、启动form修改，form隐藏）[原创]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

VB程序分析方法及修改例（“万能分析断点”、启动form修改，form隐藏）[原创]

发表于: 2006-6-30 19:42 18245

VB程序分析方法及修改例（“万能分析断点”、启动form修改，form隐藏）[原创]

跳跳狗

2006-6-30 19:42

18245

VB程序分析方法及修改例（“万能分析断点”、启动form修改，form隐藏）

VB程序的分析一直较为麻烦。用OD打开VB程序后，光标停在程序入口点，如下所示：
00406BDC > $  68 20614600 push 00466120
00406BE1 .  E8 EEFFFFFF call <jmp.&MSVBVM60.#100>
按F8键也不能实现步进跟踪，程序直接进入程序界面。
进入程序界面后，对于按钮事件可设置按钮事件断点来确定按钮事件的入口点。但对于程序启动时的初始过程就难以跟踪，同时程序中除了一些按钮外，还有一些lable事件（即点一个label后，执行一段程序）很难用事件断点来断。
为了能跟踪程序启动时在formload中执行的一些初始化操作，以及对每一个动作（按钮动作、label点击动作）等全部进行跟踪，可以采用以下笨办法:

找到以下结构的跳转语句：注意，关键特征是在sub    dword ptr [esp+4],后有JMP，而且这种语句总是好多组在一起的。
00467600 .  816C24 04 37000000 sub    dword ptr [esp+4], 37
00467608 .  E9 03313B00          jmp    0081A710
0046760D .  816C24 04 3B000000 sub    dword ptr [esp+4], 3B
00467615 .  E9 06323B00          jmp    0081A820
0046761A .  816C24 04 4B000000 sub    dword ptr [esp+4], 4B
00467622 .  E9 E9323B00          jmp    0081A910
00467627 .  816C24 04 4F000000 sub    dword ptr [esp+4], 4F
0046762F .  E9 2C413B00          jmp    0081B760
00467634 .  816C24 04 43000000 sub    dword ptr [esp+4], 43
0046763C .  E9 DF413B00          jmp    0081B820
00467641 .  816C24 04 43000000 sub    dword ptr [esp+4], 43
00467649 .  E9 D25A3B00          jmp    0081D120
0046764E .  816C24 04 47000000 sub    dword ptr [esp+4], 47
00467656 .  E9 755B3B00          jmp    0081D1D0

在程序开头部分，有不少这样的结构JMP，注意在不连续的地方可能都会找到这种结构的JMP（估计是一个FORM中的事件放在一起，不同的FORM就放在不同的地方了）。

接下来就是有点耐心，将这种结构跳转的JMP全部设置断点。

好了。接下F9吧。程序的每一步都在你的掌控中了。

实例1：改变程序启动时显示的FORM的顺序：

一个学习软件，启动时要先选择用户，然后才能进入学习。它设计的目的是这个软件在同一台电脑上可由不同的人用来学习，每人的学习记录分别保存。
但一般情况下，这台电脑也就是自己用这个软件来学习，因此，改造一下，让它启动后直接进入学习界面。

好，动手！

对每一个sub    dword ptr [esp+4], + JMP结构的JMP全部设置断点。
按下F9，一步一步跟踪，看那一步执行后显示用户选择界面，然后按下用户确定键后，程序停在那里：

.
46B2CD jmp 7A2156    在此按F9后，显示用户选择界面
.
.

46B2D8 jmp 7A2290    选择用户后，停在此处。在此按F9后，显示学习界面
.
.
就在这里下手：
将46B2CD jmp 7A2156    改为 jmp 7A2290

重新启动一下，哈哈，直接进入学习界面。

需要注意的是，这种修改启动form的方法不一定能全部成功，因为可能会跳过一些初始化过程，因而造成后面的程序不能正常运行。

实例2：让程序实现自己注册，你都不用输入什么，按注册键后，程序自己将正确的注册码写入注册文件

对上面说到的学习软件进行分析，发现它竟采用明码方式显示注册码的字符串。而且输入注册码后，不管注册码是否正确，都写入注册文件。

思路：在获得输入假码的地方，换为程序自己生成的真码。这样程序就自动将真码写入注册文件了。

动手：按“注册”后，程序停下，按F8跟踪：（注意这个“注册”按钮不是按钮，只是一个label，一般用按钮事件方法不能断下来）

00765F71 .  8B35 C4608900 mov    esi, [8960C4]
00765F77 .  8D4D CC    lea    ecx, [ebp-34]
00765F7A .  51          push ecx
00765F7B .  56          push esi
00765F7C .  8B06       mov    eax, [esi]
00765F7E .  FF90 04070000 call [eax+704]    关键CALL，根据机器码生成注册码明码
00765F84 .  8B45 D4    mov    eax, [ebp-2C] F8执行这一句后，EAX寄存器中显示出注册码了
00765F87 .  8945 E8    mov    [ebp-18], eax

好了，按F9,显示注册界面。
输入假码。
按“注册”按钮（这个是真的按钮了）。程序停下，按F8跟踪：

007E7919 .  FF15 6C104000 call [<&MSVBVM60.__vbaHresultCheckObj>;  MSVBVM60.__vbaHresultCheckObj
007E791F > \83EC 10    sub    esp, 10
007E7922 .  8B45 E8    mov    eax, [ebp-18] F8执行这一句后，EAX寄存器中显示出办入的假码  这就是关键点了。
007E7925 .  8BD4       mov    edx, esp
007E7927 .  B9 08000000 mov    ecx, 8

哈哈，以上两段代码都是将注册码放入EAX！

动手：对007E791F处的代码修改如下：
007E7919 .  FF15 6C104000 call [<&MSVBVM60.__vbaHresultCheckObj>;  MSVBVM60.__vbaHresultCheckObj
007E791F >  E9 4CE60A00 jmp    00895F70 跳去新增的代码，生成真注册码
007E7924    90          nop
007E7925 >  8BD4       mov    edx, esp
007E7927 .  B9 08000000 mov    ecx, 8
.
.
.

在程序最后的空白处增加以下代码：
00895F70 > \56          push esi
00895F71 .  8B35 C4608900 mov    esi, [8960C4]
00895F77 .  8D4D CC    lea    ecx, [ebp-34]
00895F7A .  51          push ecx
00895F7B .  56          push esi
00895F7C .  8B06       mov    eax, [esi]
00895F7E .  FF90 04070000 call [eax+704]       调用注册码生成
00895F84 .  8B45 D4    mov    eax, [ebp-2C]    生成的真码放入EAX
00895F87 .  8945 E8    mov    [ebp-18], eax
00895F8A .  5E          pop    esi
00895F8B .  83EC 10    sub    esp, 10
00895F8E .^ E9 9219F5FF jmp    007E7925       返回原程序段，此时真码就已放入EAX了

嘿嘿！重新启动程序看看：是不是“未注册”已变为“已注册”，所有的限制已取消了。

注：这个软件的新版已不再采用生成明码注册码的方式了。这个老版留做记念。

实例3：改变程序启动form顺序，隐藏一些form（用VBExplorer配合）

还是前面的程序，增加自己注册功能后，想做成个专门的注册程序，不需要什么学习界面。
按实例1方法，在进入学习界面后，点“注册”，停在了下面：

46FF5D jmp 7F2BC2    在此按F9后，显示注册界面。

好了，按实例1中找到的启动画面显示处，进行修改：

将：46B2CD jmp 7A2156 修改为 jmp  7F2BC2

不好，怎么启动程序后，不仅显示了注册界面，还显示了用户选择界面，想了多种跳转修改，还是要显示用户选择。
郁闷！

先是自己用VB做了两个FORM，一个是可显示的，一个的显示属性设置为隐藏。然后分析两个form的数据结构，发现隐藏的form数据结构中的数据多了几个数据。看来想修改用户选择界面form的隐藏属性是不太可能了（因为要增加数据项）。

这下动用VBExplorer了。
用VBExplorer打开程序，找到用户选择的form，查看它的属性，将top 设置为-5，left设置为-5，height设置为1，width设置为1，将窗口显示方式设置为manual，存盘。

再启动程序，嘿！这个用户选择界面终于消失了（它只是1*1大小，而且是放在了左上角显示器之外了，当然看不见了 ^D^）

附实例4：利用VBExplorer改变程序对像放置位置

奇迹智能英语用来背单词还是很优秀的，但原版程序有个BUG：一启动就将系统音量调整到最大。真是很烦人的。

这个好办，找到启动时设置音量的代码，nop就行了。
但剩下的问题还有：程序音量调整按钮的音量指示还在音量最大处，想调音量时，一点指示器，音量又调到最大了。看来需要将这个指示器的初始位置调整一下了：

用VBExplorer打开程序，找到用于音量指示的image，将其left属性调整到一个适当值即可。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・3

免费・7

支持

最新回复 (32) 1 2 ▶
EexeNet 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	EexeNet 2 楼感谢你的文章,我应好好学习! 2006-6-30 21:06 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 3 楼楼主好文章，谢谢分享 2006-6-30 21:38 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼收藏学习！ 2006-6-30 21:38 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 5 楼学习，谢谢 2006-6-30 21:40 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 6 楼第一种方法，我试过，有很多软件是拦不下的。其他，学习！！！ 2006-6-30 21:51 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 7 楼最初由老头发布第一种方法，我试过，有很多软件是拦不下的。不知道你指的具体是什么软件，具体是什么事件断不下来。有时间的话，我也可以看看分析分析，当学习提高的机会了。这里提到的方法也是我分析新概念英语学习机和奇迹智能英语记忆这些VB程序时摸到的方法。这个断法，是对VB中的的各种事件进行断下，如果是事件中调用的函数，可能这个就断不下来。这时可用其它方法辅助了。还有，在JMP下断时，要将全部这种结构的JMP下断。我是用OD将全部内容输出为TXT文件，然后用ultraedit 以[esp+4]为关键词搜索，然后瑞在OD中进行下断。这样保证不会有漏掉的。 2006-6-30 22:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 8 楼提供了一个好思路哦，一直对 VB 头痛 2006-7-1 10:42 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 9 楼对用P-CODE处理的VB软件能不能用这种方法? 2006-7-1 11:01 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 10 楼我想请教楼主，如何用OD将全部内容输出为TXT文件？我是这样做的将全部内容复制到 TXT 文件中，用 ultraedit 也无法找到 [esp+4]的。对吗？下面的代码，楼主看看，可以中断吗（用[esp+4] 的方法）工程1： Private Sub Command1_Click() Form2.Show End Sub 工程2： Private Sub Command1_Click() MsgBox "11111" End Sub 该如何找到 [esp+4] ，我怎么没有找到？好象对用P-CODE处理的VB软件也不能用 2006-7-1 11:48 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 11 楼 OD复制方法：用OD载入程序后，点右键，选择“复制　/　全选”，然后再选择“复制　/　到文件”　，就将OD界面中的所有内容复制到一个文件了。需要注意的是，这个文本文件比较大。奇迹智能英语复制出的这个文件有65M之大。作了个测试：一个form load事件，一个text change事件，一个timer事件，一个command事件。如下所示：一般情况下，form load， text　change，　timer事件是很难跟踪的。 Private Sub Command1_Click() MsgBox "exit" End End Sub Private Sub Form_Load() MsgBox "form load" Timer1.Enabled = True End Sub Private Sub Text1_Change() If Text1 = "123" Then MsgBox "OK" End If End Sub Private Sub Timer1_Timer() Timer1.Enabled = False MsgBox "timer off" End Sub 用OD打开这个程序，查找相关特征码，可找到如下结构的JMP，设置断点后，跟踪，可以得到各个事件的入口： 00401BBC . 816C24 04 3B0>sub dword ptr [esp+4], 3B 00401BC4 . E9 E7000000 jmp 00401CB0 command1 click 00401BC9 . 816C24 04 330>sub dword ptr [esp+4], 33 00401BD1 . E9 EA010000 jmp 00401DC0 form1 load 00401BD6 . 816C24 04 370>sub dword ptr [esp+4], 37 00401BDE . E9 2D030000 jmp 00401F10 text1 change 00401BE3 . 816C24 04 3F0>sub dword ptr [esp+4], 3F 00401BEB . E9 B0040000 jmp 004020A0 timer1 这个说明，这个JMP法基本可以跟到所有的VB事件. 同时，在进行测试时，自定义的function等入口也是在上述的JMP结构中。而且一个form中的所有事件和自定义的函数都是连续放在一起的。如果还有其它的form，则放在另一块地方。附，测试程序。上传的附件： test.rar （3.06kb，15次下载） 2006-7-3 08:49 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 12 楼呵呵,不错,偶要将你的发现写成一段脚本. 2006-7-3 09:00 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 13 楼可否把你的目标程序也发上来？谢谢 2006-7-3 09:34 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 14 楼按照楼主的文章与test.rar编写的OllyHTML脚本: (0.5.0.5的OllyHTML插件有BUG,现已更新成0.5.0.6,下面是新的脚本,速度快一些) <html> <head> <title>设置VB程序事件处理断点</title> <script src="res://OllyHTML.dll/const.js"></script> </head> <body> <table style="font-size:14px;width:100%;height:100%;border-collapse:collapse" cellspacing="0" cellpadding="0" align="center"> <tr> <td> <textarea id="resultArea" style="width:100%;height:100%;" title="双击跳到相应地址的指令" rows="10" ondblclick="gotoAddr()" WRAP="off"></textarea> </td> </tr> <tr style="height:24px"> <td align="center"> <input type="button" value="设置断点" onclick="setEventBP()"> </td> </tr> </table> <script> function gotoAddr() { var txtRange=document.selection.createRange(); var val=parseInt(txtRange.text,16); if(val>0x01000) app.Analyser.Cpu(val,val,0); } function setEventBP() { resultArea.value=""; var lines=new Array(); var t=app.Analyser.GetThreadInfo(app.MainThreadID); if(!t) { alert("请先装入被调试VB程序并让Ollydbg分析完代码！"); return; } var m=app.Analyser.GetModuleInfo(t.Entry); var st=m.CodeBase; var ed=m.CodeBase+m.CodeSize; var addr=st; setOnce(); function setOnce() { window.external.Title="addr:"+window.external.IntToHex(addr)+" found:"+lines.length; for(var ct=0;ct<100 && addr>0 && addr<m.CodeBase+m.CodeSize;ct++) { addr=app.Analyser.FindOP(addr,"816C2404"); if(addr>0) { addr=app.Analyser.GetNextOPAddr(addr,1); var dasm=app.Analyser.Disasm(addr); if(dasm.CmdType==C_JMP && dasm.JumpAddr>0) { app.BreakPoint.On(addr); lines.push(window.external.IntToHex(addr)); } } } if(addr>0 && addr<m.CodeBase+m.CodeSize) { setTimeout(setOnce,100); } else { window.external.Title="finish! total found:"+lines.length; resultArea.value=lines.join("\r\n"); } } } </script> </body> </html> 2006-7-3 09:52 0
shine 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	shine 15 楼挺好的办法，但是对于一些窗体比较多的软件就头疼了，我遇到一个软件用VBexplor看了又十多个窗体，其中有两个跟注册有关的。 2006-7-3 11:02 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 16 楼这个是得需要点耐心。奇迹智能英语有21个form呢。如果是要跟踪form load中的初始化情况，就需要一步一步跟踪。如果是只是跟踪程序中的几个事件，可以先设置断点，然后禁止断点，然后启动程序，在要跟踪前，将断点激活就可以了。另，请教dreaman：我还不知道OllyHTML脚本怎么用呢。我已装好插件了。但不知道怎么才能用起来。这样用起来的话，设置断点就不用麻烦了。 2006-7-3 12:45 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 17 楼 1、首先装入被调试程序. 2、点插件菜单的OllyHTML=>Scripts,可以打开我放在网站上的脚本列表,点相应脚本条目后的"运行"就可以执行相应脚本了,这是在线脚本的用法. 3、如果脚本已经保存成本地HTML,则用菜单OllyHTML=>Load=>HTML,选择相应脚本文件,就可以运行脚本了. 4、脚本运行是使用弹出来的一个IE控件容器窗口,点“设置断点”就可以了。另： 00401BBC . 816C24 04 3B0>sub dword ptr [esp+4], 3B 00401BC4 . E9 E7000000 jmp 00401CB0 command1 click 前一句后面的3B是不是代表什么控件与事件类型之类的，要是能直接识别出是什么样的事件处理就更好了，呵呵。 2006-7-3 18:49 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 18 楼还是没懂万能断点什么原理 2006-7-3 20:56 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 19 楼最初由 foretell* 发布* 还是没懂万能断点什么原理其实这个不是什么万能断点，是指的采用对[EBP+4] ~ JMP结构的下断，可能跟踪到所有的VB事件和各种自定义function入口点，便于对程序分析。所以称其为“万能”分析断点。主要是用于对程序分析用的。另，dreaman：我调入HTM文件后，却显示如下内容？不知有什么问题。 2006-7-4 08:23 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 20 楼看起来像是你的HTML文件内容不太正确.我已经将脚本放在网上了,你用OllyHTML=>Scripts,然后点"设置VB程序事件处理断点"条目后的"运行"试试. 或者保存这个附件. 上传的附件： vbbreakpoint.rar （1.05kb，33次下载） 2006-7-4 09:02 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 21 楼谢谢 dreaman 我将你的HTML保存到文件后，不知怎么搞的 "<"和">"符号没有了。所以出错了。 2006-7-4 11:58 0
顽石雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	顽石 22 楼 OD有VB万能断点的插件,不用这么麻烦的~~~ 2006-7-4 12:57 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 23 楼 dreaman：用HTML插件设置断点后，有些是没有设置的，不知道是怎么回事。 2006-7-4 13:58 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 24 楼能不能把你的这个程序发上来我试一下,我也不太清楚原因. 2006-7-4 15:23 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 25 楼用OllyHTML=>Scripts 为什么我的OD没有这一条，（找不到 OllyHTML）我该如何操作？ 2006-7-4 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

跳跳狗

发帖

147

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
EexeNet 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	EexeNet 2 楼感谢你的文章,我应好好学习! 2006-6-30 21:06 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 3 楼楼主好文章，谢谢分享 2006-6-30 21:38 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼收藏学习！ 2006-6-30 21:38 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 5 楼学习，谢谢 2006-6-30 21:40 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 6 楼第一种方法，我试过，有很多软件是拦不下的。其他，学习！！！ 2006-6-30 21:51 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 7 楼最初由老头发布第一种方法，我试过，有很多软件是拦不下的。不知道你指的具体是什么软件，具体是什么事件断不下来。有时间的话，我也可以看看分析分析，当学习提高的机会了。这里提到的方法也是我分析新概念英语学习机和奇迹智能英语记忆这些VB程序时摸到的方法。这个断法，是对VB中的的各种事件进行断下，如果是事件中调用的函数，可能这个就断不下来。这时可用其它方法辅助了。还有，在JMP下断时，要将全部这种结构的JMP下断。我是用OD将全部内容输出为TXT文件，然后用ultraedit 以[esp+4]为关键词搜索，然后瑞在OD中进行下断。这样保证不会有漏掉的。 2006-6-30 22:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 8 楼提供了一个好思路哦，一直对 VB 头痛 2006-7-1 10:42 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 9 楼对用P-CODE处理的VB软件能不能用这种方法? 2006-7-1 11:01 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 10 楼我想请教楼主，如何用OD将全部内容输出为TXT文件？我是这样做的将全部内容复制到 TXT 文件中，用 ultraedit 也无法找到 [esp+4]的。对吗？下面的代码，楼主看看，可以中断吗（用[esp+4] 的方法）工程1： Private Sub Command1_Click() Form2.Show End Sub 工程2： Private Sub Command1_Click() MsgBox "11111" End Sub 该如何找到 [esp+4] ，我怎么没有找到？好象对用P-CODE处理的VB软件也不能用 2006-7-1 11:48 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 11 楼 OD复制方法：用OD载入程序后，点右键，选择“复制　/　全选”，然后再选择“复制　/　到文件”　，就将OD界面中的所有内容复制到一个文件了。需要注意的是，这个文本文件比较大。奇迹智能英语复制出的这个文件有65M之大。作了个测试：一个form load事件，一个text change事件，一个timer事件，一个command事件。如下所示：一般情况下，form load， text　change，　timer事件是很难跟踪的。 Private Sub Command1_Click() MsgBox "exit" End End Sub Private Sub Form_Load() MsgBox "form load" Timer1.Enabled = True End Sub Private Sub Text1_Change() If Text1 = "123" Then MsgBox "OK" End If End Sub Private Sub Timer1_Timer() Timer1.Enabled = False MsgBox "timer off" End Sub 用OD打开这个程序，查找相关特征码，可找到如下结构的JMP，设置断点后，跟踪，可以得到各个事件的入口： 00401BBC . 816C24 04 3B0>sub dword ptr [esp+4], 3B 00401BC4 . E9 E7000000 jmp 00401CB0 command1 click 00401BC9 . 816C24 04 330>sub dword ptr [esp+4], 33 00401BD1 . E9 EA010000 jmp 00401DC0 form1 load 00401BD6 . 816C24 04 370>sub dword ptr [esp+4], 37 00401BDE . E9 2D030000 jmp 00401F10 text1 change 00401BE3 . 816C24 04 3F0>sub dword ptr [esp+4], 3F 00401BEB . E9 B0040000 jmp 004020A0 timer1 这个说明，这个JMP法基本可以跟到所有的VB事件. 同时，在进行测试时，自定义的function等入口也是在上述的JMP结构中。而且一个form中的所有事件和自定义的函数都是连续放在一起的。如果还有其它的form，则放在另一块地方。附，测试程序。上传的附件： test.rar （3.06kb，15次下载） 2006-7-3 08:49 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 12 楼呵呵,不错,偶要将你的发现写成一段脚本. 2006-7-3 09:00 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 13 楼可否把你的目标程序也发上来？谢谢 2006-7-3 09:34 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 14 楼按照楼主的文章与test.rar编写的OllyHTML脚本: (0.5.0.5的OllyHTML插件有BUG,现已更新成0.5.0.6,下面是新的脚本,速度快一些) <html> <head> <title>设置VB程序事件处理断点</title> <script src="res://OllyHTML.dll/const.js"></script> </head> <body> <table style="font-size:14px;width:100%;height:100%;border-collapse:collapse" cellspacing="0" cellpadding="0" align="center"> <tr> <td> <textarea id="resultArea" style="width:100%;height:100%;" title="双击跳到相应地址的指令" rows="10" ondblclick="gotoAddr()" WRAP="off"></textarea> </td> </tr> <tr style="height:24px"> <td align="center"> <input type="button" value="设置断点" onclick="setEventBP()"> </td> </tr> </table> <script> function gotoAddr() { var txtRange=document.selection.createRange(); var val=parseInt(txtRange.text,16); if(val>0x01000) app.Analyser.Cpu(val,val,0); } function setEventBP() { resultArea.value=""; var lines=new Array(); var t=app.Analyser.GetThreadInfo(app.MainThreadID); if(!t) { alert("请先装入被调试VB程序并让Ollydbg分析完代码！"); return; } var m=app.Analyser.GetModuleInfo(t.Entry); var st=m.CodeBase; var ed=m.CodeBase+m.CodeSize; var addr=st; setOnce(); function setOnce() { window.external.Title="addr:"+window.external.IntToHex(addr)+" found:"+lines.length; for(var ct=0;ct<100 && addr>0 && addr<m.CodeBase+m.CodeSize;ct++) { addr=app.Analyser.FindOP(addr,"816C2404"); if(addr>0) { addr=app.Analyser.GetNextOPAddr(addr,1); var dasm=app.Analyser.Disasm(addr); if(dasm.CmdType==C_JMP && dasm.JumpAddr>0) { app.BreakPoint.On(addr); lines.push(window.external.IntToHex(addr)); } } } if(addr>0 && addr<m.CodeBase+m.CodeSize) { setTimeout(setOnce,100); } else { window.external.Title="finish! total found:"+lines.length; resultArea.value=lines.join("\r\n"); } } } </script> </body> </html> 2006-7-3 09:52 0
shine 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	shine 15 楼挺好的办法，但是对于一些窗体比较多的软件就头疼了，我遇到一个软件用VBexplor看了又十多个窗体，其中有两个跟注册有关的。 2006-7-3 11:02 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 16 楼这个是得需要点耐心。奇迹智能英语有21个form呢。如果是要跟踪form load中的初始化情况，就需要一步一步跟踪。如果是只是跟踪程序中的几个事件，可以先设置断点，然后禁止断点，然后启动程序，在要跟踪前，将断点激活就可以了。另，请教dreaman：我还不知道OllyHTML脚本怎么用呢。我已装好插件了。但不知道怎么才能用起来。这样用起来的话，设置断点就不用麻烦了。 2006-7-3 12:45 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 17 楼 1、首先装入被调试程序. 2、点插件菜单的OllyHTML=>Scripts,可以打开我放在网站上的脚本列表,点相应脚本条目后的"运行"就可以执行相应脚本了,这是在线脚本的用法. 3、如果脚本已经保存成本地HTML,则用菜单OllyHTML=>Load=>HTML,选择相应脚本文件,就可以运行脚本了. 4、脚本运行是使用弹出来的一个IE控件容器窗口,点“设置断点”就可以了。另： 00401BBC . 816C24 04 3B0>sub dword ptr [esp+4], 3B 00401BC4 . E9 E7000000 jmp 00401CB0 command1 click 前一句后面的3B是不是代表什么控件与事件类型之类的，要是能直接识别出是什么样的事件处理就更好了，呵呵。 2006-7-3 18:49 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 18 楼还是没懂万能断点什么原理 2006-7-3 20:56 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 19 楼最初由 foretell* 发布* 还是没懂万能断点什么原理其实这个不是什么万能断点，是指的采用对[EBP+4] ~ JMP结构的下断，可能跟踪到所有的VB事件和各种自定义function入口点，便于对程序分析。所以称其为“万能”分析断点。主要是用于对程序分析用的。另，dreaman：我调入HTM文件后，却显示如下内容？不知有什么问题。 2006-7-4 08:23 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 20 楼看起来像是你的HTML文件内容不太正确.我已经将脚本放在网上了,你用OllyHTML=>Scripts,然后点"设置VB程序事件处理断点"条目后的"运行"试试. 或者保存这个附件. 上传的附件： vbbreakpoint.rar （1.05kb，33次下载） 2006-7-4 09:02 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 21 楼谢谢 dreaman 我将你的HTML保存到文件后，不知怎么搞的 "<"和">"符号没有了。所以出错了。 2006-7-4 11:58 0
顽石雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	顽石 22 楼 OD有VB万能断点的插件,不用这么麻烦的~~~ 2006-7-4 12:57 0
跳跳狗雪币： 239 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 48 回帖 147 粉丝 0 关注私信	跳跳狗 4 23 楼 dreaman：用HTML插件设置断点后，有些是没有设置的，不知道是怎么回事。 2006-7-4 13:58 0
dreaman 雪币： 1325 活跃值： (507) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 208 粉丝 12 关注私信	dreaman 11 24 楼能不能把你的这个程序发上来我试一下,我也不太清楚原因. 2006-7-4 15:23 0
老头雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 97 粉丝 0 关注私信	老头 25 楼用OllyHTML=>Scripts 为什么我的OD没有这一条，（找不到 OllyHTML）我该如何操作？ 2006-7-4 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

VB程序分析方法及修改例 （“万能分析断点”、启动form修改，form隐藏）[原创]

VB程序分析方法及修改例（“万能分析断点”、启动form修改，form隐藏）[原创]