本集视频主题
当窗口代码被VM了,里面找不到窗口ID怎么办?
原理
在窗口代码里面,会push一大堆东西,其中就有窗口ID
窗口代码
而push完后紧接着会call到FF 25的401221
FF 25
那么,即使被VM掉了,还会push的。那么可以在FF 25处下断点,当断下来后,在堆栈里面找push进去的窗口ID。
给程序加VM
-
打开VMProtect后载入程序,设置——“专家模式”
1.png -
右键点击程序名称,选择“新建”——“新建流程”
2.png -
把需要VM代码的起始地址填入进去
3.png -
点击“选项”,选择“最快速度”
4.png - 最后编译运行
载入OD破解
-
把加了VM后的程序载入OD并运行起来,来到被VM的代码
被VM的代码 -
二进制查找FF 25,在所有FF 25处下断点
对FF 25下断点 -
当断下来后,从堆栈中
找窗口ID
