万年狐妖 發表於 2021-7-27 18:38:00

逆向按钮事件定位

<p>首先可以利用一些工具来查看他的编程语言。</p>
<h3>0x01Delphi</h3>
<p>可以直接查找特征二进制字符串&nbsp; ??是任意字节的意思&nbsp; 这个特征码bc++同样适用</p>
<div>740E8BD38B83????????FF93????????</div>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181150806-360061706.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;<img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181210981-1249501615.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;<img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181324555-1908585622.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;找到的是je&nbsp; 在下面的call 下断点&nbsp;</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181418672-1330238946.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;往复一直下一个都下断点</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181540366-1014691683.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;可以看到成功断下。 也可以用工具dede 直接找到所有事件位置&nbsp;</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727181657098-1636185558.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<h3>&nbsp;0x02VB</h3>
<p>vb按钮事件特征码 816c24</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727182110813-105398164.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;可以看到只有一个按钮</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727182155182-1555549269.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<h3>&nbsp;0x03MFC</h3>
<p>载人后能看到 mfcxx.dll 说明是mfc 程序</p>
<p>特征是 命令查找&nbsp; sub eax,0xA</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727182815667-1501140565.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;跳转到je 下的call&nbsp; &nbsp;所有的都下断点就行。</p>
<h3>0x04易语言</h3>
<p>载入很清楚看到</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727183124930-1711900267.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;是e语言 查找特征 ff25</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727183153790-159563516.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;<img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727183209143-1842343931.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;jmp 就是事件表&nbsp; ff55fc5f5e 是他的按钮特征码 可以直接找到下断点 和前面的一样没啥区别</p>
<p><img src="https://img2020.cnblogs.com/blog/1222663/202107/1222663-20210727183248316-401839393.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;也可以用e-debug工具定位事件地址</p>
<h3>0x05vc++</h3>
<p>输入内容和mfc一样的&nbsp;sub eax,0xA&nbsp; 找到后 je 跳到的位置 下call&nbsp; &nbsp;f7进入后不是核心代码 多一层jmp 其实也一样 遇到了一眼就看出来了</p>
<p>&nbsp;</p>

</div>
<div id="MySignature" role="contentinfo">
    从此山高路远,纵马扬鞭。愿往后旅途,三冬暖,春不寒,天黑有灯,下雨有伞。此生尽兴,不负勇往。<br><br>
来源:https://www.cnblogs.com/feizianquan/p/15067406.html
頁: [1]
查看完整版本: 逆向按钮事件定位