.Net通用按钮事件特征码教程 By：闪电小子

tysan

昨天在看了画眉大侠的文章之后才有的后续研究：http://www.52pojie.cn/thread-365683-1-1.html  3种方法OD调戏.NET程序，追注册码！【完结】By：凉游浅笔深画眉

众所周知，在易语言，mfc中都是有相关的按钮事件通用特征码的，这样可以很高效的定位到程序的关键地方,从而进行破解。

不说废话直接给出特征代码：

.Net 2 中System_W 模块中找这个关键特征码 在找到的第一个下断点
8B 41 0C 8B 49 04 FF D0 59 5B 5E 5F

.net 4 中System_W 模块中找这个关键字在找到的第一个下断点

8B 41 0C 8B 49 04 FF D0 59 5B 5E 5F


在WPF程序 在Presenta模块中找这个关键字在找到的第一个下断点
8B 41 0C 8B 49 04 FF D0 5B 5E 5F



具体怎么操作，我分别用.Net 2、.Net4 、WPF的实例来演示

.Net2 过程如下：

在OD中运行起来程序，按M选择内存模块。往下拉找到System_W模块的.text区段
这里我们直接复制地址7B05A000

然后我们按C回到反汇编窗口，这里我们按快捷键Ctrl+G 跳到我们找到的这个地址



跳向这个区段代码之后，我们Ctrl+B搜索二进制代码，也就是我们所说的特征码



然后我们在Call EAX处下段即可



我们点击程序按钮的时候就会在此断下。



在call EAX处我们F7步入，然后大概经过20多次F8来到以下代码的时候，就正式进入了我们的关键代码




.Net4 过程如下：
过程大致跟.Net2的过程类似，只是特征码有稍许不一样的地方。



成功的断下地址。


成功找到程序关键点地方。




真实的案例 nop掉jnz，或者修改标志位就可以了。

WPF程序过程如下：

过程其实大致差不多的。你只要理解了一个版本的过程，都很好操作了。



WPF程序不同的是我们要找的是Presenta模块的地址



同样是跳向这个地址



通过查找特征码，找到我们的关键代码，下好断点就行了。



关键点入口。


nop掉这里，或者修改标志位。



成功了有么有。



其实这个特征码不算难找，我也是一时兴起随便研究了下，期望对大家有些帮助吧。
写的不好之处请大家多多指导，很长一段时间在渗透中，也是好久没搞破解了。
最近打算重拾，希望喜爱玩.Net的朋友一块交流学习进步哈。

Sound

Hmily 发表于 2016-5-20 17:59
@Sound 补丁也不是特别靠谱，因为这个模块不同机器是变动的，而且net平台如果不同也不一样，倒是net上我好 ...

不同机器的net平台不同模块不同,如果要说这其他机器上要考虑平台的原因.,
但是在本机上 不需要考虑这么多 补丁还是可以的。

Hmily

@Sound 补丁也不是特别靠谱，因为这个模块不同机器是变动的，而且net平台如果不同也不一样，倒是net上我好像看过有类似的补丁，如果不考虑跨平台啥的当前机器应该可以补丁。

yhxing

大神啊渗透强啊

heiyan

简直卧槽了，不好意思 我都惊奇了 这都能研究出来 太牛了 顶大神 遇到强壳 不怕不会破解了 感谢教程

徐诺心

这个思路可以

Valices

感谢指点，一起学习，一起进步嘛~ 多多分享~~

zhangbaida

很不错的教程，来支持了

caleb110

多谢分享，支持楼主！

luo858

支持鼓励，再接再励！52论坛有你才精彩~~~

硬汉

如果这个NET载入OD，啥都看不到呢？就要先脱了是吗

tysan

硬汉 发表于 2016-5-19 09:13
如果这个NET载入OD，啥都看不到呢？就要先脱了是吗

啥都看不到？我这里实例的程序有无壳的和加壳的。都可以的。