1. 通过查找当前模块中的名称(标签),然后查找输入函数参考来定位函数地址。
这是最常用的方法之一,但对于有些压缩过的程序效果可能就不那么高了。就象飘云兄刚发的那个《PiaoYun's CrackMe 004 》就不怎么有效。
2. 通过查找所有字符串来定位断点地址,这也是最最常用的方法之一,对于没有对字符串加密的程序来说特别有效,但对加密的基本上就无能为力了。
3. 通过查找对一个地址的参考来定位断点地址,这也是一个好方法,但对于引用该地址的指令中不直接给该地址值时就无能为力了。对于查找命令序列什么的都是如此。
4. 对某个内存地址下硬件断点(读,写,执行),可以中断任何对该地址的内存操作。但要找到这个地址需要费点功夫的。
***以上4点下断点的方法针对任何程序都有效的***
下面说说对VB程序下断点时特别有效的一个方法:
5. 这里介绍一个在VB程序中定位断点地址特别有效的方法:
在VB程序中查找二进制字串:81 6C 24(十六进制),可以找到如下形式的指令:
004016A0 . 816C24 04 FFFF0000 sub dword ptr [esp+4], 0FFFF
004016A8 . E9 D3510000 jmp 00406880
。。。
00401FB8 . 816C24 04 63000000 sub dword ptr [esp+4], 63
00401FC0 . E9 0B260000 jmp 004045D0 ; SN编辑框输入处理函数
其中,0FFFF这个值代表的VB程序内定义的一个函数或着过程,若为其他值(如4B),则代表的是VB程序中某个组件或控件的方法。其下面的JMP指令就跳到该方法的第一条指令上。
那么,在该JMP上下断点,就可直接中断在处理方法的第一条指令上。非常的快捷方便。
大家可以拿飘云兄刚发的那个《PiaoYun's CrackMe 004 》练练。
这个CrackMe是压缩了的。可以在OllyDBG的调试设置的SFX选项卡中选择[块方式跟踪真正入口处]或[字节方式跟踪真正入口处],然后重新Load程序,则OllyDBG会自动跟踪并停在真正的入口处的。