首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助][求助]调试vb程序,如何才能进入程序领空。 0.00雪花
发表于: 2009-3-1 23:03 4214

[旧帖] [求助][求助]调试vb程序,如何才能进入程序领空。 0.00雪花

nence 活跃值
2009-3-1 23:03
4214
7344913F    E8 E1B6FFFF     CALL MSVBVM60.__vbaStrComp ;bp MSVBVM60.__vbaStrComp
73449144    C2 0C00         RETN 0C

7351F9D2    33C0            XOR EAX,EAX                          ;好几段连续的类似代码
7351F9D4    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F9D6    46              INC ESI
7351F9D7    FF2485 58065273 JMP DWORD PTR DS:[EAX*4+73520658] ;eax==0
7351F9DE    33C0            XOR EAX,EAX
7351F9E0    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F9E2    46              INC ESI
7351F9E3    FF2485 580A5273 JMP DWORD PTR DS:[EAX*4+73520A58]  ;eax==0

73526BAC    57              PUSH EDI
73526BAD    33C0            XOR EAX,EAX
73526BAF    8A06            MOV AL,BYTE PTR DS:[ESI]
73526BB1    46              INC ESI
73526BB2    FF2485 58FA5173 JMP DWORD PTR DS:[EAX*4+7351FA58]

7351F9C6    33C0            XOR EAX,EAX
7351F9C8    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F9CA    46              INC ESI
7351F9CB    FF2485 58025273 JMP DWORD PTR DS:[EAX*4+73520258]
7351F9D2    33C0            XOR EAX,EAX
7351F9D4    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F9D6    46              INC ESI
7351F9D7    FF2485 58065273 JMP DWORD PTR DS:[EAX*4+73520658]
7351F9DE    33C0            XOR EAX,EAX
7351F9E0    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F9E2    46              INC ESI
7351F9E3    FF2485 580A5273 JMP DWORD PTR DS:[EAX*4+73520A58]

7351F1F7    E8 6C9FF2FF     CALL MSVBVM60.__vbaStrVarCopy  ;取机器码
7351F1FC    50              PUSH EAX
7351F1FD    33C0            XOR EAX,EAX
7351F1FF    8A06            MOV AL,BYTE PTR DS:[ESI]
7351F201    46              INC ESI
7351F202    FF2485 58FA5173 JMP DWORD PTR DS:[EAX*4+7351FA58]

735281D4    E8 F5C7F1FF     CALL MSVBVM60.__vbaLenBstr   ;计算字符串长度
735281D9    50              PUSH EAX
735281DA    33C0            XOR EAX,EAX
735281DC    8A06            MOV AL,BYTE PTR DS:[ESI]
735281DE    46              INC ESI
735281DF    FF2485 58FA5173 JMP DWORD PTR DS:[EAX*4+7351FA58]

按F9五次还是断在7344913F,堆栈显示正确注册码
0012F86C   00000000
0012F870   0015C274  UNICODE "70B0-93EC-D2AF-77CA"
0012F874   00000000
0012F878   7351F942  返回到 MSVBVM60.7351F942 来自 MSVBVM60.7344912A
0012F87C   00000000
0012F880   0015C274  UNICODE "70B0-93EC-D2AF-77CA"

再按F9出现注册界面,填入假的注册码后又被断在相同位置
再按两次F9,堆栈出现比较信息
0012F60C   00000000
0012F610   001555BC  UNICODE "70B0-93EC-D2AF-77CA"
0012F614   0015C214  UNICODE "12345678"
0012F618   7351F942  返回到 MSVBVM60.7351F942 来自 MSVBVM60.7344912A
0012F61C   00000000
0012F620   001555BC  UNICODE "70B0-93EC-D2AF-77CA"
0012F624   0015C214  UNICODE "12345678"

再按F9,程序卡住了

中间我F8单步跟了好久,基本遇到可疑call就进去,但始终进不了程序领空,alt+F9不知道怎么没用啊,进不了程序领空就谈不上修改代码破解了,大侠们给支个招。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
2
这是P-CODE,或者叫伪指令码,程序是被VB的虚拟机解释执行的,没有所谓“用户代码领空”
2009-3-1 23:17
0
nence
雪    币: 102
活跃值: (50)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
那咋办,能否说说怎么解决?
2009-3-1 23:20
0
himcrack
雪    币: 264
活跃值: (11)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
至今不会搞VB...
2009-3-1 23:20
0
beijingren
雪    币: 260
活跃值: (64)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
试试smartcheck
2009-6-28 17:14
0
keyule
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
学习了,期待高人讲解下
2009-6-28 17:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//