有壳的delphi如何使用按钮事件脚本?
用delphi编译了个测试程序,有六个按钮,每个按钮里就是弹出来个对话框,加了VMP壳做测试,那么放到OD里,运行,显示出来程序后,CTRL+G到00401000,用OD的
插件打开"Delphi & VB事件断点查找脚本.osc",没有任何提示,没办法,所以又OD重载程序,这时提示“断点设置完毕”,
但是没什么用,断点里并没有断点。
是操作的不对吗?要如何弄。难道加壳后的delphi程序无法使用按钮事件脚本???
如果可以的话,麻烦高手弄个悬赏杀手。
测试程序:链接: https://pan.baidu.com/s/1b-5zURkAPumMIaqz4IZN8g 密码: crgq
杀毒截图:
加个VMP就误报!!!
我狂汗。这个脚本加了VMP壳一样能用啊……
1.F9把程序跑起来
2.来到程序代码块起始地址(本例中是Ctrl+G,输入0x401000)
3.反汇编窗口,右键,分析——分析代码(Ctrl+A)
4.暂停程序
5.运行脚本
小生帝王 发表于 2018-7-13 21:45
既然你想要找按钮事件 那就要分析程序 既然要分析程序 为什么要加VMP阻碍自己分析?
这个只是测试程序,实际中很多delphi程序加壳了,如何分析出来按钮事件,因为暂时找不到软件,所以做个了程序来测试。 小生帝王 发表于 2018-7-13 21:53
0042E728 FF93 20010000 call dword ptr ds:
不知道是不是你说的按钮事件cal ...
应该是吧,看结构的样子看着像,不知道是怎么找到的。 李沉舟 发表于 2018-7-13 23:19
我狂汗。这个脚本加了VMP壳一样能用啊……
1.F9把程序跑起来
2.来到程序代码块起始地址(本例中是Ctrl+G ...
测试下,果然可以啊,楼主厉害了。只是这一步。
4.暂停程序
为什么要暂停程序后再打开脚本?
我之前的步骤是这样的:
1.F9把程序跑起来
2.来到程序代码块起始地址(本例中是Ctrl+G,输入0x401000)
3.反汇编窗口,右键,分析——从模块中删除分析(而你使用的是CTRL+A,这个应该没有影响,没区别)
4.运行脚本
相对于你的我少了暂停程序这个步骤,所以一直都不能断下来按钮事件。
请问楼主,为什么要先暂停程序再运行脚本,而直接运行脚本就不管用呢? VMP还好,要是另外一种壳,打乱代码顺序就好玩了 学习了学习了。。。。。
页:
[1]