2024年4月29日发(作者:)

第10课 ollydbg对付vb程序

Ollydbg有vb杀手的称号

主要定位以下api :中的

__vbaStrComp 首选

__vbaStrCmp

__vbaVarTstEq 注意__为两个下划线

或:中的VarBstrCmp

用ollydbg载入

按Alt+E,进入下图所示窗口,光条选定

点鼠标右键,选择其中的 查看名称 ,如下图

在弹出的窗口中下拉,直到定位如下的__vbaStrComp

F2设置断点 是否变红了

F9运行程序 ,填入姓名fpxfpx 注册码:1111111111 点注册

被拦

真假注册码 右边的上下窗口都可以看到

下面,我们用keymake制作内存注册机,根据上图,关键比较来自413060

我们就ctrl+g来到413060这个秘密山洞一探究竟。

如图:

一般地,我们用keymake制作内存注册机,断点就锁定在关键call。

41305A,就是她了!漂亮妞!绝对是她,梦见的就是她!死缠烂打不松手,癞蛤蟆总会吃

到天鹅肉的!记下靓妞的名字:41305A

根据上面的图形可知,真码出现在EDX寄存器指向的地址中。记下EDX