首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [已解决][求助][迷茫]关于断CreateWindowExA追踪灰色按钮 0.00雪花
发表于: 2009-10-15 09:00 2057

[旧帖] [已解决][求助][迷茫]关于断CreateWindowExA追踪灰色按钮 0.00雪花

xiaosaner 活跃值
1
2009-10-15 09:00
2057
本人菜鸟
最近在破一个CrackMe,我贴上给大家瞧瞧
Whizkid.rar

其他都好办,最后一个Cripple里有一个Diabled的按钮不知道怎么搞
(当然用按钮克星也能解决,但我想用OD)

于是OD加载,bp CreateWindowExA
断在USER32里

F9几次,观察右下角的,直到出现WindowName = "Disabled"

大概是这样的:
0012FA80   733EA61B  /CALL 到 CreateWindowExA 来自 MSVBVM60.733EA615
0012FA84   00000004  |ExtStyle = WS_EX_NOPARENTNOTIFY
0012FA88   0000C21B  |Class = C21B
0012FA8C   00D30FF0  |WindowName = "Disabled"
0012FA90   4C012000  |Style = WS_CHILD|WS_TABSTOP|WS_CLIPSIBLINGS[COLOR="Red"]|WS_DISABLED|[/COLOR]2000
0012FA94   000000C8  |X = C8 (200.)
0012FA98   000000F8  |Y = F8 (248.)
0012FA9C   00000051  |Width = 51 (81.)
0012FAA0   00000019  |Height = 19 (25.)
0012FAA4   000502A0  |hParent = 000502A0 ('WhizKiD's Crackme Challenge',class='ThunderRT6FormDC')
0012FAA8   00000003  |hMenu = 00000003
0012FAAC   73390000  |hInst = 73390000
0012FAB0   00000000  \lParam = NULL


我找到这个WS_DISABLED了,但是不知道怎么追踪它?
怎么改它,或者直接把它做掉??
迷茫中,望大家给一点提示!

------------------------------------------------------------------------------------------

已解决。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
xiaosaner
雪    币: 74
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
从User32跳出之后就再MSVBVM60里了

难道要改ESP的值吗???

对了,还是查看数据段??不知道怎么看
2009-10-15 09:21
0
xiaosaner
雪    币: 74
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3 
0012FA90   [COLOR=Red]4C012000[/COLOR]  |Style =  WS_CHILD|WS_TABSTOP|WS_CLIPSIBLINGS|WS_DISABLED|2000

原来是改4C012000,改成44012000就可以了。
2009-10-15 09:33
0
gchacker
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习了。。。原来VB里按钮的属性就是用4个字节表示啊~~~
2009-10-15 12:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//