常用斷點(OD中)
攔截窗口:
bp CreateWindow 創建窗口
bp CreateWindowEx(A) 創建窗口
bp ShowWindow 顯示窗口
bp UpdateWindow
更新窗口
bp GetWindowText(A)
獲取窗口文本
攔截消息框:
bp MessageBox(A) 創建消息框
bp MessageBoxExA 創建消息框
bp MessageBoxIndirect(A) 創建定製消息框
bp IsDialogMessageW
攔截警告聲:
bp MessageBeep 發出系統警告聲(如果沒有聲卡就直接驅動系統喇叭發聲)
攔截對話框:
bp DialogBox 創建模態對話框
bp DialogBoxParam(A) 創建模態對話框
bp DialogBoxIndirect 創建模態對話框
bp DialogBoxIndirectParam(A) 創建模態對話框
bp CreateDialog 創建非模態對話框
bp CreateDialogParam(A) 創建非模態對話框
bp CreateDialogIndirect 創建非模態對話框
bp CreateDialogIndirectParam(A) 創建非模態對話框
bp GetDlgItemText(A) 獲取對話框文本
作用是得指定輸入框輸入字符串
bp GetDlgItemInt 獲取對話框整數值
攔截剪貼板:
bp GetClipboardData 獲取剪貼板數據
攔截註冊表:
bp RegOpenKey(A) 打開子健
bp RegOpenKeyEx 打開子健
bp RegQueryValue(A) 查找子健
bp RegQueryValueEx 查找子健
bp RegSetValue(A) 設置子健
bp RegSetValueEx(A) 設置子健
功能限制攔截斷點:
bp EnableMenuItem 禁止或允許菜單項
bp EnableWindow 禁止或允許窗口
攔截時間:
bp GetLocalTime 獲取本地時間
bp GetSystemTime 獲取系統時間
bp GetFileTime 獲取文件時間
bp GetTickCount 獲得自系統成功啓動以來所經歷的毫秒數
bp GetCurrentTime 獲取當前時間(16位)
bp SetTimer 創建定時器
bp TimerProc 定時器超時回調函數
GetDlgItemInt 得指定輸入框整數值
GetDlgItemText 得指定輸入框輸入字符串
GetDlgItemTextA 得指定輸入框輸入字符串
攔截文件:
bp CreateFileA 創建或打開文件 (32位)
bp OpenFile 打開文件 (32位)
bp ReadFile 讀文件 (32位)
bp WriteFile 寫文件 (32位)
GetModuleFileNameA
GetFileSize
Setfilepointer
fileopen
FindFirstFileA
ReadFile
攔截驅動器:
bp GetDriveTypeA 獲取磁盤驅動器類型
bp GetLogicalDrives 獲取邏輯驅動器符號
bp GetLogicalDriveStringsA 獲取當前所有邏輯驅動器的根驅動器路徑
★★VB程序專用斷點★★
文件長度:RtcFileLen
bp __vbaFreeStr 對付VB程序重啓驗證
bp __vbaStrCmp 比較字符串是否相等
bp __vbaStrComp 比較字符串是否相等
bp __vbaVarTstNe 比較變量是否不相等
bp __vbaVarTstEq 比較變量是否相等
bp __vbaStrCopy 複製字符串
bp __vbaStrMove
移動字符串
bp MultiByteToWideChar ANSI字符串轉換成Unicode字符串
bp WideCharToMultiByte Unicode字符串轉換成ANSI字符串
=============== ================
密碼常用中斷
Hmemcpy (win9x專用)
GetDlgItemTextA
GetDlgItemInt
vb:
getvolumeinformationa
vbastrcomp (trw)
Bpx __vbaStrComp (記得是兩個 '_')
MSVBVM60!_vbastrcomp|sofice
MSVBVM50! |
VBAI4STR
Ctrl+D
bpx msvbvm60!__vbastrcomp do "d *(esp+0c)"(softice)
按幾次F5出冊碼出來了。
bpx regqueryvalueexa do "d esp->8"(trw)
vbaVarTstEq 判斷是否註冊的函數
(0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], ax
改爲0042932F 66898580FEFFFF mov word ptr [ebp+FFFFFE80], bx)
時間常用中斷
GetSystemTime
GetLocalTime
GetTickCount
vb:
rtcGetPresentDate //取得當前日期
殺窗常用中斷
Lockmytask (win9x專用)
bp ExitProcess 退出進程
DestroyWindow
mouse_event (鼠標中斷)
postquitmessage (Cracking足彩xp,很有用^_^)
vb:
_rtcMsgBox
ini文件內容常用中斷
GetPrivateProfileStringA
GetPrivateProfileProfileInt
key文件:
getprivateprofileint
ReadFile
CreateFileA
註冊表常用中斷
RegQueryvalueA
RegQueryvalueExA
狗加密中斷
BPIO -h 278 R
BPIO -h 378 R
其它常用函數斷點
CreateFileA (讀狗驅動程序),
DeviceIOControl,
FreeEnvironmentStringsA (對付HASP非常有效).
Prestochangoselector (16-bit HASP's), '7242' 查找字符串 (對付聖天諾).具體含義參考下面的範例。
光盤破解中斷
16:
getvolumeinformation
getdrivetype
int 2fh (dos)
32:
GetDriveTypeA
GetFullPathNameA
GetWindowsDirectoryA
讀磁盤中斷
GETLASTERROR 返回擴充出錯代碼
限制中斷
EnableMenuItem 允許、禁止或變灰指定的菜單條目
EnableWindow 允許或禁止鼠標和鍵盤控制指定窗口和條目(禁止時菜單變灰)
不知道軟盤中斷是什麼了?還有其它特殊中斷,不知道其他朋友可否說一下了?
如ockmytask and mouse_event,這些就不是api32函數?
win9x 與 win2k進行破解,以上中斷有部分已經不能用了?
不知道在win2k上,以上常用中斷函數是什麼了?
也就是問密碼、時間、窗口、ini、key、註冊表、加密狗、光盤、軟盤、限制等!
瞭解常用的中斷,對破解分析可以做到事半功倍!
請大家說一下!還有如何破解了某個軟件時,一重啓就打回原形?
不知道下什麼中斷了?可以分爲三種情況:
1.比較可能在註冊表中
2.比較在特殊文件(*.key *.ini *.dat等)
3.比較在程序中,沒有任何錯誤提示或者反譯也找不到明顯字符(這個就是我想問的)
還有一個是最難的,就是去掉水印!
也可以三種情況:
A.水印是位圖文件(bitblt,creatBITMAP等位圖函數)
B.水印是明顯字符(反譯分析)
C.水印不是明顯字符(如:This a demo!它只是顯示在另一個製作文件上,可是*.htm *.exe等)
C.纔是最難搞,也是很多人想知道的!包括我在內。不知道高手們有何提示了?
廣告條:
可以分兩種情況:
A.從創建窗口進手,可以用到movewindow或者其它窗口函數!
B.從位圖進手,也可以用到bitblt或者其它位圖函數!
最後可以藉助一些現有工具(如:api27,vwindset,freespy之類的工具)
那要看是在哪作的標記,通常是在註冊表中留下信息!
在softice中就要用bpx regqueryvalueexa do "d esp->8"來中斷看看,
在trw中要用bpx regqueryvalueexa do "d*(esp+8)"來中斷看看。
還有的是在本目錄下留下註冊信息,常見的有.dat .ini .dll等等,
我是用bpx readfile來中斷的,還有的是在windows目錄下留下注冊信息。
你可以藉助專用的工具幫助你查看,入filemon等!
vb:
1、__vbaVarTstNe //比較兩個變量是否不相等
2、rtcR8ValFromBstr //把字符串轉換成浮點數
3、rtcMsgBox 顯示一信息對話框
4、rtcBeep //讓揚聲器叫喚
5、rtcGetPresentDate //取得當前日期
針對字串:
__vbaStrComp
__vbaStrCmp
__vbaStrCompVar
__vbaStrLike
__vbaStrTextComp
__vbaStrTextLike
針對變量:
__vbaVarCompEq
__vbaVarCompLe
__vbaVarCompLt
__vbaVarCompGe
__vbaVarCompGt
__vbaVarCompNe
VB的指針:
THROW
VB DLL還調用了oleauto32.dll中的部分函數。oleauto32.dll是個通用的proxy/stub DLL,其每個函數的原型在<oleauto.h>中定義,並在MSDN中有詳細描述。這也有助於理解VB DLL中的函數的作用。
舉例:
LEA EAX, [EBP-58]
PUSH EAX
CALL [MSVBVM60!__vbaI4Var]
執行call之前敲dd eax+8,得到的值爲3;
執行完call之後,eax = 3
從而可知__vbaI4Var的作用是將一個VARIANT轉換爲I4(即一個長整數)。
__vbaVarTstNe似乎是用來進行自校驗的,正常情況下返回值爲0。
已知適用的軟件有:網絡三國智能機器人、音樂賀卡廠。當這兩個軟件被脫殼後都回出錯,網絡三國智能機器人會產生非法*作,而音樂賀卡廠會告訴你是非法拷貝,通過修改__vbaVarTstNe的返回值都可讓它們正常運行。
所以當您遇到一個VB軟件,脫殼後無法正常運行,而又找不出其它問題時,可試試攔截這個函數,說不定會有用哦。8-)
API不太知道,也許可以通過BIOS在98平臺上讀寫扇區,不過在2000/NT下可以通過內黑ATAPI,HAL寫扇區
machoman[CCG]
bpx WRITE_PORT_BUFFER_USHORT
NT/2000下這個斷點,當edx=1f0h,時,可以看見EDI地址內數據爲扇區位置數據,必須先 在winice.dat 中裝入hal.sys 詳細內容看ATAPI手冊
第一篇文章轉完了,不過這篇文章遍地都在轉,不知道誰寫的,不過還是感謝作者一下.