易语言程序用PEID查壳显示的是 Visual C++ 6.0[overlay] ,其中包含有ecode区段,这基本就是易语言程序是不会错了,应为易语言底层也是用的C++的编译系统所以也是Visual C++ 6.0, overlay(附加数据)是什么意思呢?这是易语言独有的特性:程序在库中运行,就像加了可一样所以说它带有附加数据。
如果你拿到一个易语言的程序载入 OD后就直接查找字符串之类的是无果的,就像前面所说的,易语言程序就像被加了壳一样,所以你必须在壳把程序完全解压释放出来你才能查看到程序中有用的信息,也就是等程序解码完毕,所以如果你想通过查找字符串来爆破的话,你的先让程序运行起来,下面是一个实例演示:
1.OD载入程序,无论是查找所有参考字串还是ASCII或是 UNICODE都没有看到熟悉的中文
2,F9运行程序,(看到输入注册码的地方,在等到程序没有动作再往下进行)alt+M 查看内存镜像,在ecode上F2下个断点
3,,输入假吗(可能程序有走动,等会儿就好),确认假码,就来到我们程序的代码断(ecode)的开始位置了
4,剩下的就没什么特别的了,是直接往下单步跟踪找关键位置,是直接查找字符串到关键位置就看个人喜好了。