ajun2019 发表于 2022-5-25 07:07

各种程序的OEP入口特征汇总整理!专为小白总结!

本帖最后由 ajun2019 于 2022-5-27 16:58 编辑


之前大佬总结了一篇文章,是关于入口特征的。
但只是贴出了部分入口特征的截图,我这里汇总一下所有的入口特征,
这样方便小白了解不同的程序OEP入口特征。
同时也讲下不同程序的破解窍门。


(masm程序入口)

这个程序比较老,现在基本不怎么遇到了,大家记住就可以。

特征为:
push 0x0   
jmp.&kernel32.GetModuleHandleA
====================
   
(autoit程序入口)
AutoIt 最新是v3版本,这是一个使用类似BASIC脚本语言。


特征为:
call????
jmp ????
int3
int3
push edi
push esi
====================================

(BC++程序入口)

特征为:
删除模块分析后是这样的。


=====================================



( Delphi 程序入口特征)

个人认为这个程序是最好识别的!
特征为:
       push ebp
   mov ebp,esp
    add esp,-0x10
mov eax,????

破解方法:用dededark 找按钮事件就可以了。
==================================



(V B程序入口)

特征为:
push????
call <jmp.&MSVBVM60.#ThunRTMain_100>

破解方法
VB有两种不同类型的程序,一种就是普通的,我们可以用 VB Decompilier 工具找按钮事件。
另一种是p-code(找不到按钮事件):之前专门有篇文章就是讲解破解VB的p-code版本程序的,感兴趣可以去看。

https://www.52pojie.cn/thread-1639141-1-1.html
==================================================



( VC++程序入口)

特征为:
程序一开始就会有MSVCRT._except_handler3 的调用
====================================
(易语言入口特征)特征为:这个跟上面的vc++ 入口很像,那么怎么判断呢? 在OD里面Ctrl+g输入401000来到这里所有的易语言,在401000这个位置的代码都是这个   xor eax,eax
破解方法:使用 E-DEBUG 工具找按钮事件。
==================================(非独立编译易语言程序入口)
入口特征:一上来就退出call <jmp.&KERNEL32.ExitProcess>

(vs程序入口)入口特征:
把图片上面的特征认真记住就可以了。
===================================



(Qt程序入口)Qt是一个1991年由Qt Company开发的跨平台C++图形用户界面应用程序开发框架。它既可以开发GUI程序,也可用于开发非GUI程序,比如控制台工具和服务器。
入口特征 类似于vc++
先总结到这里吧。课件用到的程序都是这个帖子的,感兴趣大家可以去下载。。
https://www.52pojie.cn/thread-234739-1-1.html

---------------------------------
最后把不同程序按钮事件特征码放出来,方便大家破解不同程序时候,直接使用。 不同程序按钮事件特征码汇总:
BC++的特征码是 ( 740E8BD38B83????????FF93????????)Delphi和的特征码 FF 93 20 01 00 00 5B C3 53VB使用同样的方法搜索VB的特征码(816C24)MFC程序,在E窗口中双击mfc42.dll,跟进去,然后反汇编窗口中右键->查找->命令:“sub eax,0a”,找到之后,在特征码的下面会有一个je跳转,选中je命令行,然后按回车,程序会跟随到跳转处,来到目标地址,找下面的一个CALL,下断点
易语言的按钮事件:二进制字符串“FF 55 FC 5F 5E

vc++按钮事件查找方法,直接OD载入程序,在反汇编窗口右键->查找->所有命令,输入特征码:sub eax,0a


使用方法:
OD载入程序---F9运行---Alt+M打开内存镜像---Ctrl+B搜索特征码---Ctrl+G跳到找到的地址---F2下断---点击按钮---断下后F7进入CALL(此处即为事件代码)




=========


万能断点
不需要知道程序使用的编译器和编译语言,直接OD载入程序,直接运行程序,输入假码之后,不要点击按钮,查看 user32模块 搜索特征码,右键->查找->二进制字符串: F3A58BC883E103F3A4E8




whg118 发表于 2022-5-25 16:19

总结的全面,非常适合小白啊。

metoo2 发表于 2022-5-25 16:22

非常适合小白,非常适合我,感谢

ekariya 发表于 2022-5-25 16:59

学习下非常适合小白感谢大佬

X.son 发表于 2022-5-25 19:58

现在很少这样的文章了,都是求了

pizazzboy 发表于 2022-5-25 23:31

很老文章了,万能断点只在XP中有用。

taxuewuhen 发表于 2022-5-25 23:40

总结的很好很到位

qqxiazhitmac 发表于 2022-5-26 00:08

支持一下

PowerOffff 发表于 2022-5-26 04:47

总结的很到位{:1_921:}

weizhuqiang 发表于 2022-5-26 06:40

非常适合小白,非常适合我,感谢
页: [1] 2 3 4
查看完整版本: 各种程序的OEP入口特征汇总整理!专为小白总结!