第一课图片窗体无法下GetWindowTextA断点

过林黑马 · 发表于 2019-3-10 14:03

背景：测试环境，虚拟机+xp。恒大在视频里面提到，这种cm有2种方式可以搞定，第一种是使用E-debug的方法找到关键事件地址，这个实操中已经理解了

但是在第二种方法，恒大提到使用GetWindowTextA的方法也可以，视频里面也断下来了。我在实际操作的时候发现，我只下GetWindowTextA断点的时候，会一直被断在系统领空，无法输入假码。断点位置如图断点位置.png

   1.开始怀疑是时钟，把时钟去掉后也不行。因为断点没有下成功，换了别的OD比如零日OD跟一支烟OD，发现也不行。
   2.先禁止GetWindowTextA，先运行到输入假码窗体，输入好111111之后，先激活GetWindowTextA断点，再点击按钮，发现被断下来了。然后按照恒大的跟踪大法一路跟，发现跟踪出来的结果不一样。
   2.1首先GetWindowTextA被断下后是断在了系统领空，执行到用户领空后，发现反汇编窗口跟恒大的是一样的，而且数据地址都是一样的：

第一个排除

2.2 Ctrl+F9执行到返回，然后F8到外面一层。发现同样的反汇编地址，跳出来的位置是不一样的，结果导致后面的跳转都不一样了。恒大视频里跳转出来找到附近的call是在00403AC7的位置：

恒大跳转call

。我在实际操作中跳到了0040724A这个call的下方。

我的跳转

然后，我使用主机WIn7系统，直接按照基本步骤走一遍，因为win7系统本身原因，反汇编的地址是发生了变化，但是还是到不了恒大的那个思路位置。
望各位大佬帮忙解决一下。
附使用的课件网盘：链接：https://pan.baidu.com/s/1Ytga04rDkWPdm8eu0w09Cw
提取码：jkqr
复制这段内容后打开百度网盘手机App，操作更方便哦
大家也可以去论坛找到对应的课件下载试试

过林黑马 · 发表于 2019-3-10 17:59

下午检测了一下OD是不是有问题。用易语言编写了一个程序，简单的测试看看GetwindowtextA的函数是不是不能断。
代码如下：如果输入的内容为111，则提示密码正确，否则提示秘密错误。测试api.png

在OD中载入，发现可以正常输入内容，输入后正常断下。

奇怪了，都是一样的程序，居然有不同的调试效果

过林黑马 · 发表于 2019-3-10 19:49

继续研究恒大的课件。今天发现使用showwindow搞定了这个cm，第二种方法。
常见拦截窗口是下面几个API：
bp CreateWindow 创建窗口
bp CreateWindowEx(A/W) 创建窗口
bp ShowWindow 显示窗口
bp UpdateWindow 更新窗口
bp GetWindowText(A/W) 获取窗口文本

分别在主机跟虚拟机中使用ShowWindow API，一路找到关键call后，在可疑断点做判断，最终找到与课件一样的关键跳转。结果一致。
总结一下，恒大讲解的第二种方法，本质上是告诉我们一种使用api下断的基本分析思路，至于为何我的虚拟机没办法断下，现在也没搞明白，至少思路是对了。
第一个API无法搞定的时候，可以尝试换个别的API试试。

vawa1900 · 发表于 2019-4-5 11:22

亲，我按你的流程走了一遍，发现你问题可能是出在哪里了。
你后面之所以能跳到和视频里不一样的地址上，是因为第一步就和恒大的不一样。
如果启动OD之后不先运行程序，直接下窗口断点再F9运行，确实会跳到40724F这里

40724F

视频里是进OD先让程序运行起来，弹出登录界面，再下弹窗断点，然后输入假码点注册后程序会断下来。
然后在一路F8就可以找到那个关键跳。

看你的描述，你一开始是我上面所说情况，但后来改成这样：
“2.先禁止GetWindowTextA，先运行到输入假码窗体，输入好111111之后，先激活GetWindowTextA断点，再点击按钮，发现被断下来了”
这么操作其实和先运行再下断点是一样的，出的结果我也试了下，是可以正常跳转的。
你如果还是出错，试试清空UDD再试。
另外我也是win764位的系统。

过林黑马 · 发表于 2019-4-5 17:58

vawa1900 发表于 2019-4-5 11:22
亲，我按你的流程走了一遍，发现你问题可能是出在哪里了。
你后面之所以能跳到和视频里不一样的地址上，是 ...

不一样的。刚听你的这个分析，我以为我的电脑出问题了，分别用了主机，2个虚拟机都试过了，还是跟之前的一样。而且我刚去网吧，在网吧里面换主机测试了，还是一样的。GetWindowTextA是不能直接断下，需要先禁止，再运行后激活。出来的结果是一样的。除非我的电脑，跟网吧电脑有输入法或者某些自动开启的软件断下了，不过可能性很小。因为我把输入法都卸载下来也是一样的。不会是虚拟机或者OD 的问题。

vawa1900 · 发表于 2019-4-6 13:09

咱俩说的一个意思。
不能先下断点再运行。那样确实得到的地址会不一样。
OD载入后先F9运行，注册窗体弹出来后，下窗体断点，然后输入假码点注册，这样就可以正常断下来。
当然你那样禁止再激活断点也是可以的，一个道理。不是稍稍麻烦点么。。
另外多嘴一句，现在的网吧都是无盘工作站，读的无盘服务器上的系统，换机器是没有意义的。。。

过林黑马 · 发表于 2019-4-6 20:28

vawa1900 发表于 2019-4-6 13:09
咱俩说的一个意思。
不能先下断点再运行。那样确实得到的地址会不一样。
OD载入后先F9运行，注册窗体弹出 ...

今天弄了半天，大概知道是什么原因了。跟你讲的不太一样。OD的问题。
我电脑有20多个版本，我都试过了一遍，发现有2个版本能达到恒大的效果，其他的OD都不行，
不能达到效果的OD表现是一样的。我发现了，可以达到视频那个效果的OD，操作是那样的：
先运行，然后输入假码11111，然后不要点击注册，直接下GetWindowTextA断点，下了断点之后直接切回程序界面。能达到视频恒大效果的那2个OD都是不会暂停，会等我点击注册之后才会触发暂停GetWindowTextA断点。从而返回程序领空之后能完美达到那个效果。
但是大部分的OD 都不能去点击注册按钮，只要下了GetWindowTextA断点之后，马上会被暂停。然后按照步骤走就走不到视频的断点了。
我有尝试用原版OD跑，不过原版直接终止了，暂时不知道什么原因，初步结论是OD问题。刚在网吧测试结果一样，都是OD问题，

		自动登录	找回密码
密码			立即注册