OD常用断点及VB程序专用断点
OD常用断点及VB程序专用断点
一、 OD常用断点
1、拦截窗口:
bp CreateWindow 建立窗口
bp CreateWindowEx(A) 建立窗口
bp ShowWindow 显现窗口
bp UpdateWindow 更新窗口
bp GetWindowText(A) 获取窗口文本
2、 拦截消息框:
bp MessageBox(A) 建立消息框
bp MessageBoxExA 建立消息框
bp MessageBoxIndirect(A) 建立定制消息框
bp IsDialogMessageW
3、拦截警告声:
bp MessageBeep 发出零碎警告声(假如没有声卡就直接驱动零碎喇叭发声)
4、拦截对话框:
bp DialogBox 建立模态对话框
bp DialogBoxParam(A) 建立模态对话框
bp DialogBoxIndirect 建立模态对话框
bp DialogBoxIndirectParam(A) 建立模态对话框
bp CreateDialog 建立非模态对话框
bp CreateDialogParam(A) 建立非模态对话框
bp CreateDialogIndirect 建立非模态对话框
bp CreateDialogIndirectParam(A) 建立非模态对话框
bp GetDlgItemText(A) 获取对话框文本
bp GetDlgItemInt 获取对话框整数值
5、拦截剪贴板:
bp GetClipboardData 获取剪贴板数据
6、拦截注册表:
bp RegOpenKey(A) 打开子健
bp RegOpenKeyEx 打开子健
bp RegQueryValue(A) 查找子健
bp RegQueryValueEx 查找子健
bp RegSetValue(A) 设置子健
bp RegSetValueEx(A) 设置子健
7、功能 拦截断点:
bp EnableMenuItem 禁止或答应菜单项
bp EnableWindow 禁止或答应窗口
8、拦截光 :
bp GetLocalTime 获取卖地光
bp GetSystemTime 获取零碎光
bp GetFileTime 获取文件光
bp GetTickCount 获得自零碎成功发动以来所经历的毫秒数
bp GetCurrentTime 获取卖前光 (16位)
bp SetTimer 建立定时器
bp TimerProc 定时器超时回调函数
GetDlgItemInt 得指定输进框整数值
GetDlgItemText 得指定输进框输进字符串
GetDlgItemTextA 得指定输进框输进字符串
9、拦截文件:
bp CreateFileA 建立或打开文件 (32位)
bp OpenFile 打开文件 (32位)
bp ReadFile 读文件 (32位)
bp WriteFile 写文件 (32位)
GetModuleFileNameA
GetFileSize
Setfilepointer
fileopen
FindFirstFileA
ReadFile
10、拦截驱动器:
bp GetDriveTypeA 获取磁盘驱动器类型
bp GetLogicalDrives 获取逻辑驱动器标记
bp GetLogicalDriveStringsA 获取卖前一切逻辑驱动器的根驱动器路径
二、VB步骤专用断点
文件长度:RtcFileLen
bp __vbaFreeStr 敷衍VB步骤重启考证
bp __vbaStrCmp 相比字符串能否相等
bp __vbaStrComp 相比字符串能否相等
bp __vbaVarTstNe 相比变量能否不相等
bp __vbaVarTstEq 相比变量能否相等
bp __vbaStrCopy 双制字符串
bp __vbaStrMove 挪动字符串
bp MultiByteToWideChar ANSI字符串转换成Unicode字符串
bp WideCharToMultiByte Unicode字符串转换成ANSI字符串
三、密 常用中缀
Hmemcpy (win9x专用)
GetDlgItemTextA
GetDlgItemInt
vb:
getvolumeinformationa
vbastrcomp (trw)
Bpx __vbaStrComp (记得是两个 '_')
MSVBV
M60!_vbastrcomp|sofice
MSVBVM50! |
VBAI4STR
Ctrl+D
bpx msvbvm60!__vbastrcomp do "d *(esp+0c)"(softice)
按几次F5出册 出来了。
bpx regqueryvalueexa do "d esp->8"(trw)
vbaVarTstEq 断定能否注册的函数
(0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], ax
改为0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], bx)
光 常用中缀
GetSystemTime
GetLocalTime
GetTickCount
vb:
rtcGetPresentDate //获得卖前日期
杀窗常用中缀
Lockmytask (win9x专用)
bp ExitProcess 退出过程
DestroyWindow
mouse_event (鼠标中缀)
postquitmessage (Cracking足彩xp,很有用^_^)
vb:
_rtcMsgBox
ini文件内容常用中缀
GetPrivateProfileStringA
GetPrivateProfileProfileInt
key文件:
getprivateprofileint
ReadFile
CreateFileA
注册表常用中缀
RegQueryvalueA
RegQueryvalueExA
狗加密中缀
BPIO -h 278 R
BPIO -h 378 R
其它常用函数断点
CreateFileA (读狗驱动步骤),
DeviceIOControl,
FreeEnvironmentStringsA (敷衍HASP非常有效).
Prestochangoselector (16-bit HASP's), '7242' 查找字符串 (敷衍圣天诺).具体含义参考下面的范例。
光盘破解中缀
16:
getvolumeinformation
getdrivetype
int 2fh (dos)
32:
GetDriveTypeA
GetFullPathNameA
GetWindowsDirectoryA
读磁盘中缀
GETLASTERROR 返回扩充出错代
中缀
EnableMenuItem 答应、禁止或变灰指定的菜单条目
EnableWindow 答应或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)
了解常用的中缀,对破解分析可以做到事半功倍!
如何破解了某个软件时,一重启就打回原形?
不晓得下什么中缀了?可以分为三种情况:
1.相比可能正在注册表中
2.相比正在非凡文件(*.key *.ini *.dat等)
3.相比正在步骤中,没有任何过失提示或者反译也找不到明确字符
还有一个是最难的,就是走失水印!
也可以三种情况:
A.水印是位图文件(bitblt,creatBITMAP等位图函数)
B.水印是明确字符(反译分析)
C.水印不是明确字符(如:This a demo!它只是显如今另一个制作文件上,可是*.htm *.exe等)
C.才是最难搞,也是很多人想晓得的!包括我正在内。不晓得妙手们有何提示了?
广告条:
可以分两种情况:
A.从建立窗口进手,可以用到movewindow或者其它窗口函数!
B.从位图进手,也可以用到bitblt或者其它位图函数!
最后可以借助一些现有东西(如:api27,vwindset,freespy之类的东西)
vb:
1、__vbaVarTstNe //相比两个变量能否不相等
2、rtcR8ValFromBstr //把字符串转换成浮点数
3、rtcMsgBox 显现一消息对话框
4、rtcBeep //让扬声器喊唤
5、rtcGetPresentDate //获得卖前日期
针对字串:
__vbaStrComp
__vbaStrCmp
__vbaStrCompVar
__vbaStrLike
__vbaStrTextComp
__vbaStrTextLike
针对变量:
__vbaVarCompEq
__vbaVarCompLe
__vbaVarCompLt
__vbaVarCo
mpGe
__vbaVarCompGt
__vbaVarCompNe
VB的指针:
THROW
VB DLL还挪用了oleauto32.dll中的部分函数。oleauto32.dll是个通用的proxy/stub DLL,其每个函数的原型正在