ollydbg中快速定位各种语言关键代码的方法.docxVIP

目录：快速定位vc vs的OnInitDialog函数 按钮事件定位 ? VB 定位按钮? VC按钮事件的定位? VC6 Release? VC6 Debug? ? VC2003 Release? ? VS2003 Debug ? VS2008 Release ? VS2008 Debug? VS2010 Release? VS2010 Debug? delphi? 更新历史： 2014.5.16 更新 VS2008 2014.5.15 更新 VS2003 快速定位vc vs的OnInitDialog函数 bp SendMessageW MSG == WM_SETICON 或 bp SendMessageA MSG == WM_SETICON 然后执行代码到返回，整个Call就是OnInitDialog函数了。 VB 定位按钮 先F9运行，然后查看按钮的窗口句柄 下断点 bp?CallWindowProcA?[esp+8]==00110BF0??[esp+0c]==202  点击按钮，  Alt + M 查看内存映射，在.text区段下访问断点，F9运行   断在72991F0C ? ?FF3418 ? ? ? ? ?push dword ptr [eax+ebx] ? ? ? ? ? ? ? ? ; VB.004077CD VB.004077CD按钮的地址。  VC按钮事件的定位 //关于vc搜索二进制确定按钮处理代码的特征，目前都只测试了一个。 vc6 Release版本 动态?就在mfc42.dll中搜索sub eax, 0a 静态?就在主模块中搜索sub eax, 0a?|. ?83E8 0A ? ? ? sub eax, 0xA?|. ?74 46 ? ? ? ? je XTestBtn...?| \8B4D 08 ? ? ? mov ecx, dword ptr ss:[ebp+0x8] ? ? ? ? ?; ?Case C of switch 0041661A?|. ?FF55 14 ? ? ? call dword ptr ss:[ebp+0x14] call dword ptr ss:[ebp+0x14]? ??? ? //此函数就是Button的处理函数。 VC6 Debug? 动态 在MFC75D.dll中二进制搜索? ??75 E3 8B 4D 08 FF 55 FC? 静态 ?在主模块中二进制搜索? ??75 E3 8B 4D 08 FF 55 FC? VS2003 Release 动态：在mfc71.dll中搜索??5E C2 ?? ?? 8B 4D ?? FF 55 ?? E9? 静态 在主模块中搜索?FF 24 85 ?? ?? ?? ?? 8B 4D ?? FF 55 14 VS2003 Debug 共享?MFC71d.dll中搜索 静态?主模块中搜索 85 C0 74 01 CC 8B 4D 08 FF 55 ?? E9 VS2008 Release 共享: 在mfc90u.dll中搜索?FF 24 95 ?? ?? ?? ?? FF D0 静态：在主模块中搜索二进制?FF 24 85 ?? ?? ?? ?? FF 55 14 VS2008 Debug 共享?在MFC90ud.dll中搜索 静态?在主模块中搜索 85 C0 74 01 CC 8B 4D 08 FF 55 ?? E9 VS2010 Release 动态：在mfc100*.dll中搜索二进制?FF 24 95 ?? ?? ?? ?? FF D0 静态：在主模块中搜索二进制?FF 24 85 ?? ?? ?? ?? FF 55 14 VS2010 Debug 动态：在mfc100*.dll中搜索二进制：74 01 CC 8B 4D 08 FF 55 F8 静态：在主模块中搜索二进制：74 01 CC 8B 4D 08 FF 55 F8 在call dword ptr ss:[ebp-0x8] 下断点。 delphi? 一、查找二进制 740E8BD38B83????????FF93????????