本帖最后由 ajun2019 于 2022-5-27 16:58 编辑
之前大佬总结了一篇文章,是关于入口特征的。
但只是贴出了部分入口特征的截图,我这里汇总一下所有的入口特征,
这样方便小白了解不同的程序OEP入口特征。
同时也讲下不同程序的破解窍门。
(masm程序入口)
这个程序比较老,现在基本不怎么遇到了,大家记住就可以。
特征为:
push 0x0
jmp.&kernel32.GetModuleHandleA
====================
(autoit程序入口)
AutoIt 最新是v3版本,这是一个使用类似BASIC脚本语言。
特征为:
call ????
jmp ????
int3
int3
push edi
push esi
====================================
(BC++程序入口)
特征为:
删除模块分析后是这样的。
=====================================
( Delphi 程序入口特征)
个人认为这个程序是最好识别的!
特征为:
push ebp
mov ebp,esp
add esp,-0x10
mov eax,????
破解方法:用dededark 找按钮事件就可以了。
==================================
(V B程序入口)
特征为:
push ????
call <jmp.&MSVBVM60.#ThunRTMain_100>
破解方法
VB有两种不同类型的程序,一种就是普通的,我们可以用 VB Decompilier 工具找按钮事件。
另一种是p-code(找不到按钮事件):之前专门有篇文章就是讲解破解VB的p-code版本程序的,感兴趣可以去看。
https://www.52pojie.cn/thread-1639141-1-1.html
==================================================
( VC++程序入口)
特征为:
程序一开始就会有MSVCRT._except_handler3 的调用
====================================
这个跟上面的vc++ 入口很像,那么怎么判断呢? 在OD里面Ctrl+g 输入401000来到这里 所有的易语言,在401000这个位置的代码都是这个 xor eax,eax
==================================
call <jmp.&KERNEL32.ExitProcess>
把图片上面的特征认真记住就可以了。
===================================
(Qt程序入口)Qt是一个1991年由Qt Company开发的跨平台C++图形用户界面应用程序开发框架。它既可以开发GUI程序,也可用于开发非GUI程序,比如控制台工具和服务器。
入口特征 类似于vc++
先总结到这里吧。课件用到的程序都是这个帖子的,感兴趣大家可以去下载。。
https://www.52pojie.cn/thread-234739-1-1.html
---------------------------------
最后把不同程序按钮事件特征码放出来,方便大家破解不同程序时候,直接使用。 不同程序按钮事件特征码汇总:
BC++的特征码是 ( 740E8BD38B83????????FF93????????) Delphi和的特征码 FF 93 20 01 00 00 5B C3 53 VB使用同样的方法搜索VB的特征码(816C24) MFC程序,在E窗口中双击mfc42.dll,跟进去,然后反汇编窗口中右键->查找->命令:“sub eax,0a”,找到之后,在特征码的下面会有一个je跳转,选中je命令行,然后按回车,程序会跟随到跳转处,来到目标地址,找下面的一个CALL,下断点
易语言的按钮事件:二进制字符串“FF 55 FC 5F 5E
vc++按钮事件查找方法,直接OD载入程序,在反汇编窗口右键->查找->所有命令,输入特征码:sub eax,0a
使用方法:
OD载入程序---F9运行---Alt+M打开内存镜像---Ctrl+B搜索特征码---Ctrl+G跳到找到的地址---F2下断---点击按钮---断下后F7进入CALL(此处即为事件代码)
=========
万能断点
不需要知道程序使用的编译器和编译语言,直接OD载入程序,直接运行程序,输入假码之后,不要点击按钮,查看 user32模块 搜索特征码,右键->查找->二进制字符串: F3A58BC883E103F3A4E8
OEP大全.zip
(288.24 KB, 下载次数: 201)
|