使用姿势:
OD载入后,CTRL+B 查找 ,CTRL+L继续查找和F2下断点。
1.VC++程序(非MFC程序)
OD载入后,单击鼠标右键,选择"查找",然后是"所有命令”
在弹出的输入框里,写入特征代码 sub eax,0a
然后断下后,F7跟进,F8两次,就来到按钮核心事件了
2.VB程序
816C24
3.易语言
如何判断是否为易语言程序:od载入后,查找二进制字符串FF25,看是否有很多JMP堆叠在一起,如果有,则很可能是易语言程序。
- 方式一
FF 55 FC 5F 5E
- 方式二 (e-debug)
4.MFC类程序
运行程序然后就CTRL+F,查找特征代码:sub eax,0a
断下后F7跟进就会来到按钮事件代码处了!(如果没有CALL,则跳过此处,即此处不为按钮事件)
(或者不用F7,直接enter回车跟入跳转,在call处下断点)
5. Delphi和BC++程序:
740E8BD38B83????????FF93????????
6.万能断点:
(适用范围窄)
在按下按钮之前,OD选择“查看->模块->USER32”,在模块内查找二进制字符串
F3A58BC883E103F3A4E8
下断点,然后执行到断点后,使用alt+F9回到用户代码即可。
