E语言基本特征码/时钟反调试/窗体push大法

最新推荐文章于 2025-10-06 15:25:45 发布
原创 最新推荐文章于 2025-10-06 15:25:45 发布 · 3.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言

本文介绍易语言中的调试技巧,包括使用testedx进行字符串比较的方法、按钮事件特征码的应用、利用易语言体FF25进行调试及如何通过时钟特征进行反调试等。

E语言基本特征码/时钟反调试/窗体push大法

该篇文章有以下内容:

    1. 易语言字符串比较函数 test edx,3 F7C203000000
    2. 按钮事件特征码:FF55FC5F5E,可以被修改恒成立
    3. 易语言体 FF 25
    4. 时钟的反调试
    5. Push窗体大法

一、利用 test edx,3 来判断字符串比较  F7C203000000
1. 查看该程序

2. 一般直接搜内存其硬编码(如果搜指令可能在高版本的E语言中可能搜索不到)
Test edx,0x3 其对应的硬编码为 F7C203000000

3. 在搜索结果中查看该地址

4. CPU窗口对应转到该指令当中去

 5. 下断点,当程序断下走完前几个,直接查看 edx,ecx 寄存器即可。

6. 修改字符串比较的返回值,这样就能达到注册的目的。

二、按钮事件特征码(FF55FC5F5E)

1. 这个应该被称为“易语言控件消息派发函数”,所有按钮都经过到这里来。

 2. 我们在这里下一个断点,之后按钮在这里断下。

 3. 不同的按钮都经过这里断下,之后进入各自的函数中。

三、易语言体(FF25)
1. 易语言体,所有的易语言函数都会经过这里

2. 我们之后就可以在这里利用如“PUSH 窗体大法”等来利用

四、“时钟”的反调试与干掉“时钟”
1. 设置一个“时钟”

2. 利用 FF55FC5F5E 特征码到达消息派发函数处,设置断点。

3. 之后发现每一秒都会暂停这里,根本无法暂停在按钮事件中。

4. 解决办法:设置条件断点
    00401047  /.  55            push ebp

五、push窗体大法

1. 先写一个窗口界面。

2. 定义到 FF25 易语言体,上面一个 LoadBeginWin 加载窗口,我们的思路是遍历窗口ID,让其弹出自己想弹出的窗口,这样就实现另外一种思路的破解了。

3. 找到该对应的插件,先运行程序再启动。

4. 查看对应的窗体ID

5. 再次重新调试程序,运行前修改有关参数,即可完成跳转。

QT_快速入门
Three的笔记
01-10 8683
*信号与槽(Signal & Slot)**是QT⾃⾏定义的⼀种通信机制,也是 Qt 编程的基础。通过信号与槽的编程机制,使得 Qt 中处理界⾯各个组件的交互操作时变得更加直观和简单。它独⽴于标准的C/C++语⾔,因此要正确的处理信号和槽,必须借助⼀个称为moc(Meta Object Compiler)的QT⼯具,该⼯具是⼀个C++预处理程序,它为⾼层次的事件处理⾃动⽣成所需要的附加代。信号(signal):就是特定情况下被发射的事件,⼀般由对象或空间发射出去的消息。
效率极高的分类算法
blotemj.blog.youkuaiyun.com
07-01 2171
效率极高的分类算法   在网站建设中,分类算法的应用非常的普遍。在设计一个电子商店时,要涉及到商品分类;在设计发布系统时,要涉及到栏目或者频道分类;在设计软件下载这样的程序时,要涉及到软件的分类;如此等等。可以说,分类是一个很普遍的问题。   我常常面试一些程序员,而且我几乎毫无例外地要问他们一些关于分类算法的问题。下面的举几个我常常询问的问题。你认为你可以很轻松地回答么^_^.   1、分类...
易语言PUSH窗口法记录
还是上会网吧~
10-19 5203
易语言PUSH法,跳过验证窗口。https://www.52pojie.cn/thread-483527-1-1.html 测试: OD载入,打开EWND插件,一键获取,枚举窗口。 查找二进制串FF 25 直接替换成要载入的窗口值。0x52010038,保存。
易语言完美又简单的防PUSH窗口
06-16
易语言完美又简单的防PUSH窗口
易语言实现内存特征码搜索实战案例
最新发布
weixin_31185473的博客
10-06 702
在现代软件逆向分析、自动化控制以及安全攻防领域,精确识别目标程序中的关键代逻辑是实现功能干预或行为监控的核心前提。而内存特征码技术正是解决这一问题的关键手段之一。当一个可执行文件被加载至进程空间后,其原始二进制指令会以特定布局存在于虚拟内存中,尽管地址可能因ASLR(地址空间布局随机化)发生变化,但某些核心函数的指令序列却保持高度一致。这种稳定的字节模式即为“内存特征码”。
逆向破解之易语言按钮事件特征码
xf555er的博客
08-21 3333
前面已经说了按钮事件特征码捕获的事件不只是按钮事件,还有一些其他事件。但是可以通过下条件断点来精准捕获按钮事件。
浅学软件逆向笔记(2)
m0_62063669的博客
08-08 1865
OD快捷方式-------------------------F2:断点F4: 运行到光标处F7: 单步步入F8: 单步步过F9: 运行Ctrl+A :分析代(函数,参数...)Ctrl+G : 跳转到Ctrl+X : 复制地址Ctrl+E :修改内存Ctrl+B :二进制搜索Ctrl+F :指令搜索(单条指令)Ctrl+S :指令搜索(多条指令)Ctrl+F9 :运行到返回(ret指令位置)Ctrl+F12: 重启调试Ctrl+Shift+x :复制二进制数据。...
易语言破解之PUSH窗体
xf555er的博客
08-23 4414
PUSH窗体大法可以绕过大部分易语言程序的登录和注册界面但是有一个缺点,由于不知道哪个窗体地址才是载入真正代窗体,所以要一个个窗体去测试载入,若某个窗体写了暗桩,那么直接凉凉。
易语言窗体事件详解PUSH10001详解
08-26
易语言窗体事件详解PUSH10001详解
内存泄漏预警!VLC ActiveX长期运行下的资源管理陷阱及3大应对策略
VLC ActiveX长期运行下的资源管理陷阱及3大应对策略](https://img-blog.csdnimg.cn/aff679c36fbd4bff979331bed050090a.png) # 摘要 本文围绕VLC ActiveX控件在长期运行中的内存泄漏与稳定性问题,系统分析了其运行...
成功烧写TMS320F2812经验
ytffhew的博客
11-12 4117
成功烧写TMS320F2812经验
400个E语言
12-31
400个最实用的易语言源代!绿色无毒!绝对实用!2011年最新版!
e语言400个代
05-20
自己收集的400多个易语言源代!共享出来。
e语言数据库工具源
01-17
e语言数据库管理工具源,mysql基础的功能实现。是易语言学习MYSQL管理的好例程。
e语言-bat代易语言对照表加例程
08-23
Bat批处理代易语言对照表Bat例程分析1.Bat命令:taskkill /f /im QQP* >NUL 2>NUL本命令为结束进程命令,使用了通配符,意为结束所有带有QQp名称的进程,其实目的是结束QQProtect安全进程,后面>NUL 2>NUL是静默运行,易语言不需要这个,后面同理易语言命令为(使用了精易模块)这个是严格按照bat命令写的,其实简单的就写:进程_结束 (进程_名取ID (”QQprotect”))2.Bat命令:del/f/q "%tmp%\*.tvl">NUL 2>NUL意为删除临时目录里面所有后缀为tvl的文件3.rd/s/q "%AppData%\Tencent\QQ"  2>NUL意为删除目录,/s/q为参数,静默删除不提示。易语言命令:目录删除(读环境变量 (“AppData”))4.reg delete HKLM\SYSTEM\CurrentControlSet\services\QQProtect /F>NUL 2>NUL意为删除注册表,HKLM=M=machine=4=本地机器易语言如下:删除注册项 (4, “SYSTEM\CurrentControlSet\services\QQProtect”)5.regsvr32 /s Bin\TXSSO\Npchrome\npactivex.dll注册dll到系统易语言命令:运行 (“regsvr32 /s “ “取运行目录()” ”\Bin\TXSSO\Npchrome\npactivex.dll”, 真, )6.if not exist "%Windir%\SysWOW64" md "%CommonProgramFiles%\Tencent\TXSSO\Bin"2>NUL意为如果目录不存在,创建目录易语言命令7.xcopy /s/i/y Bin\TXSSO\QQApp "%AppData%\Tencent\QQ\QQApp">NUL 2>NUL意为复制一个目录里面的所有文件到指定目录易语言命令:目录_复制 (取运行目录 () + “\Bin\TXSSO\QQApp”, 读环境变量 (“AppData”) + “\Tencent\QQ\QQApp”)7.regsvr32 /s /u Bin\TXSSO\Bin\SSOCommon.dll意为卸载指定dll易语言命令运行 (“regsvr32 /s/u “ ”取运行目录()” ”7.Bin\TXSSO\Bin\SSOCommon.dll”, 真, )8.reg add HKLM\Software\Tencent\TXSSO /v version /d "1.2.2.86" /F>NUL意为添加注册表项目,项目值为1.2.2.86易语言为:写注册项 (4, “Software\Tencent\TXSSO\version”, “1.2.2.86”)
RE Tool(易语言push神器)
05-06
易语言专用push神奇,快来下载!! 易语言专用push神奇,快来下载!!
图像处理之-位图(未完待續)
04-18 4415
图像处理之-位图 MD DoCumEnT: 3/16/2016 5:59:48 PM by Jimbowhy 自从发现MarkdownPad以后,就沉迷于写作,从未有过这样的浸淫,完全没有了生物钟的同期,基本上只要醒着,手眼就离不了屏幕,离不了键盘,一直敲着几近光滑的按键,那种感觉就是满足,如果要用个词来形容,我觉得 F**KING WRITING! F**KING MY LIFE! 是恰当的。生
push大法破解登录框
热门推荐
fendo
04-02 1万+
一、前言 什么是push大法push跳窗口大法,大家都应该知道,一个软件里面会有登入窗口,如果登入成功他就会载入另一个功能窗口,而push跳窗口大法就是为了跳过登入窗口,载入功能窗口。 今天在网上找了个软件,下下来之后,需要激活。。尴尬,有登录窗口,这个时候想到了,push大法,将软件扔到PEiD,查看是否加了壳。。 什么壳都没有。。VC++6.0,通过p...
软件逆向中的push大法
qq_42983283的博客
11-25 2344
先打开od,然后ctrl+g
线刷转卡刷神器:lephone特征码计算器V4工具
“线刷改卡刷工具”这一标题所涉及的核心知识点是移动设备(尤其是智能手机)系统刷机技术中的两种主要刷机方式——线刷与卡刷的转换机制,以及实现这种转换的关键工具:特征码计算器。在安卓设备维护、系统升级或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生活家小毛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值