首页
论坛
课程
招聘
[旧帖] 我这个VB的小软件修改如何下断点? 0.00元
2010-4-14 20:03 5875

[旧帖] 我这个VB的小软件修改如何下断点? 0.00元

2010-4-14 20:03
5875
软件内置有广告代码,如果把广告代码用00 填充掉,在启动的时候 就会弹出无数个IE窗口,我想知道怎么下断点,才能很快找到弹出IE窗口的代码?

[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年6月班火热招生!!

收藏
点赞0
打赏
分享
最新回复 (24)
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-14 20:21
2
0
跟踪了一天,进入到入口点 ,下一句就是 call <jmp.&MSVBVM60.#100>,如果F8下一句代码 就弹出无数的IE窗口。用F7进入VM中,就陷入代码汪洋了,需要跟踪许久。  有时候按快了,就过了。慢慢按的话 ,代码很多。我想下个断点,请问这个断点 应该下载哪个函数上?或者 哪句经典的汇编代码里?
雪    币: 2343
活跃值: 活跃值 (290)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
风随雨行 活跃值 1 2010-4-14 20:43
3
0
你都说了是vm的了,就没有真正意义上的n-code
都是p-code的了
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-14 20:46
4
0
那如果要解决这个弹出无数个窗口的东东,麽办呢?或者给个思路,我来执行
雪    币: 2343
活跃值: 活跃值 (290)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
风随雨行 活跃值 1 2010-4-14 21:26
5
0
先确定它是NCODE的还是PCODE的
NCODE的还好办一点
PCODE的就要用一些特别VB的反汇编工具修改PCODE去跳过弹出过程了
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-14 22:03
6
0
我用VBComplier 查了 ,是 ncode,下面怎么整呢?
雪    币: 97
活跃值: 活跃值 (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
nence 活跃值 2010-4-14 23:06
7
0
有壳没有,没有发来玩玩,getip001@gmail.com
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-15 01:02
8
0
,没有壳的。是某个作者写的软件,有收费和免费,功能是相同的,就是免费有广告,现在全力破广告中。嘿嘿。。。
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-15 16:04
9
0
报告一下进度。昨天根据一片文章 设置断点以后,慢慢跟踪,终于把弹出窗口给去掉了。但是在发布的时候,还是有广告。我想在点击 发布信息按钮的 时候 程序能够自动进入,怎么设置断点呢?
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-15 21:16
10
0
用查找参考字符串的形式,终于找到广告代码了。我用 NOP 覆盖了代码以后生成了一个新的exe文件,但是无法运行。我想是不是覆盖错了?
代码如下:

005BDC5A    50              push eax
005BDC5B    68 080B4D00     push 10.004D0B08                         ; %
005BDC60    FFD6            call esi
005BDC62    8B3D 48124000   mov edi,dword ptr ds:[<&MSVBVM60.__vbaSt>; MSVBVM60.__vbaStrMove
005BDC68    8BD0            mov edx,eax
005BDC6A    8D4D D4         lea ecx,dword ptr ss:[ebp-2C]
005BDC6D    FFD7            call edi
005BDC6F    50              push eax
005BDC70    68 DCDF4C00     push 10.004CDFDC                         ; 0
005BDC75    FFD6            call esi
005BDC77    8BD0            mov edx,eax
005BDC79    8D4D D0         lea ecx,dword ptr ss:[ebp-30]
005BDC7C    FFD7            call edi
005BDC7E    50              push eax
005BDC7F    68 F4EC4C00     push 10.004CECF4                         ; d
005BDC84    FFD6            call esi
005BDC86    8BD0            mov edx,eax
005BDC88    8D4D CC         lea ecx,dword ptr ss:[ebp-34]
005BDC8B    FFD7            call edi
我把这段全部NOP了,不能运行了
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-15 21:26
11
0
跟踪新生成的exe发现出现了异常,,怎么修改才是正确的呢?
雪    币: 236
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
LeoF 活跃值 1 2010-4-16 09:25
12
0
mark...
雪    币: 164
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
blackboy 活跃值 2010-4-16 10:47
13
0
跟一下看有栈平衡问题没
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-16 13:21
14
0
今天继续跟踪,第五天
雪    币: 239
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
johnsonlyg 活跃值 2010-4-19 11:27
15
0
这么多NOP掉 不是堆栈不平衡 就是有乱码了
我看你还是jmp一个好
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-20 12:52
16
0
伤心伤心,看了9天,31万行代码,把类似于%2d%3d形式的全部替换为 %00%00的形式的。结果生成的结果是 不能运行。。。。
雪    币: 130
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
冰血野驴 活跃值 2010-4-20 14:54
17
0
学习中 哈哈!!!
雪    币: 826
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
superdj 活跃值 2010-4-20 15:02
18
0
什么意思
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-20 15:57
19
0
太伤心了,就是替换了 手工在31万行寻找unicode字符串,替换成 00。整了几天,结果 程序不能运行了。555~~~~~~~~
雪    币: 273
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
hack一生 活跃值 1 2010-4-21 20:37
20
0
mark....
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-4-22 02:32
21
0
今天继续跟踪,有点眉目了。用消息断点的方式,我已经跟踪到 具体产生广告的代码里面了。明天继续调试。。。。
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-5-2 03:30
22
0
哦,耽误了几日,今天继续调试。额。里面有一条带毒的代码,格式化C盘。
我跟踪到一个CALL不知道啥意思?

005BB450    $  55                 push ebp
005BB451    .  8BEC               mov ebp,esp
005BB453    .  83EC 18            sub esp,18
005BB456    .  68 56964100        push <jmp.&MSVBVM60.__vbaExceptHandler>
005BB45B    .  64:A1 00000000     mov eax,dword ptr fs:[0]
005BB461    .  50                 push eax
005BB462    .  64:8925 00000000   mov dword ptr fs:[0],esp
005BB469    .  B8 E8000000        mov eax,0E8
005BB46E    .  E8 DDE1E5FF        call <jmp.&MSVBVM60.__vbaChkstk>
005BB473    .  53                 push ebx
005BB474    .  56                 push esi
005BB475    .  57                 push edi
005BB476    .  8965 E8            mov dword ptr ss:[ebp-18],esp
005BB479    .  C745 EC A0F44000   mov dword ptr ss:[ebp-14],16.0040F4A0
005BB480    .  C745 F0 00000000   mov dword ptr ss:[ebp-10],0
005BB487    .  C745 F4 00000000   mov dword ptr ss:[ebp-C],0
005BB48E    .  C745 FC 01000000   mov dword ptr ss:[ebp-4],1
005BB495    .  8B55 08            mov edx,dword ptr ss:[ebp+8]
005BB498    .  8D4D D4            lea ecx,dword ptr ss:[ebp-2C]
005BB49B    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4A1    .  C745 FC 02000000   mov dword ptr ss:[ebp-4],2
005BB4A8    .  6A FF              push -1
005BB4AA    .  FF15 98104000      call dword ptr ds:[<&MSVBVM60.__vbaOnError>]
005BB4B0    .  C745 FC 03000000   mov dword ptr ss:[ebp-4],3
005BB4B7    .  BA F4B14D00        mov edx,16.004DB1F4
005BB4BC    .  8D4D C8            lea ecx,dword ptr ss:[ebp-38]
005BB4BF    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4C5    .  C745 FC 04000000   mov dword ptr ss:[ebp-4],4
005BB4CC    .  BA 080B4D00        mov edx,16.004D0B08
005BB4D1    .  8D4D D0            lea ecx,dword ptr ss:[ebp-30]
005BB4D4    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4DA    .  C745 FC 05000000   mov dword ptr ss:[ebp-4],5
005BB4E1    .  BA 50D34C00        mov edx,16.004CD350
005BB4E6    .  8D4D B8            lea ecx,dword ptr ss:[ebp-48]
005BB4E9    .  FF15 E0114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCopy>]
005BB4EF    .  C745 FC 06000000   mov dword ptr ss:[ebp-4],6
005BB4F6    .  8B45 D4            mov eax,dword ptr ss:[ebp-2C]
005BB4F9    .  50                 push eax
005BB4FA    .  68 50D34C00        push 16.004CD350
005BB4FF    .  FF15 0C114000      call dword ptr ds:[<&MSVBVM60.__vbaStrCmp>]
005BB505    .  85C0               test eax,eax
005BB507    .  75 05              jnz short 16.005BB50E
005BB509    .  E9 8C060000        jmp 16.005BBB9A
005BB50E    >  C745 FC 09000000   mov dword ptr ss:[ebp-4],9
005BB515    .  8B4D D4            mov ecx,dword ptr ss:[ebp-2C]
005BB518    .  51                 push ecx
005BB519    .  8D95 58FFFFFF      lea edx,dword ptr ss:[ebp-A8]
005BB51F    .  52                 push edx
005BB520    .  FF15 68114000      call dword ptr ds:[<&MSVBVM60.__vbaStr2Vec>]
005BB526    .  8D85 58FFFFFF      lea eax,dword ptr ss:[ebp-A8]
005BB52C    .  50                 push eax
005BB52D    .  8D4D B4            lea ecx,dword ptr ss:[ebp-4C]
005BB530    .  51                 push ecx
005BB531    .  FF15 1C104000      call dword ptr ds:[<&MSVBVM60.__vbaAryMove>]
005BB537    .  C745 FC 0A000000   mov dword ptr ss:[ebp-4],0A
005BB53E    .  8B55 B4            mov edx,dword ptr ss:[ebp-4C]
005BB541    .  52                 push edx
005BB542    .  6A 01              push 1

就是以上的汇编代码,啥意思呢?
雪    币: 64
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
暗徒 活跃值 2010-5-2 18:20
23
0
Lz试过打开所有模块标签那个没?查下除了系统领空调用之外的模块...
雪    币: 210
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dzahz 活跃值 2010-5-3 11:41
24
0
除了系统模块以外 ,那就是VB虚拟机的模块了
雪    币: 56
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ginseng 活跃值 2010-5-3 11:55
25
0
我刚刚学习这个/看下
游客
登录 | 注册 方可回帖
返回