.Net零基础逆向教程 —— 第七课（千变万化）

随着最近的几节课学习，那么我想大家已经有了一定的心得了。

怎么逆向呢？首先你得脱壳，然后你要去找到注册机制的验证机制，找到了它怎么验证的，这个软件我们就能搞定PJ了。

那么在之前的课里我们都是根据一定的特征去找到验证机制的，今天我们来学习下，怎么从一个没有弹窗的软件里找出关键位置。

                               
登录/注册后可看大图

这是我写的一个小软件，中间这个数字会一直变啊变啊变啊变……我们此次的目的是让这个数字不要再变了。

查壳，没壳，丢到dnSpy里走一波。

因为没有啥太好的思路，所以直接F5让它跑起来

                               
登录/注册后可看大图

既然变化发生在这个窗口，那么我们不妨在这里中断，看一下它的调用堆栈

                               
登录/注册后可看大图

堆栈里从Main方法开始就调用了系统的各种dll，看起来我们只能从Main入手了，双击进入

                               
登录/注册后可看大图

在这里我们能看到一个对窗口的初始化，说明这个程序在运行后显示了Form1窗口

点击Form1，我们能找到这个窗口的初始化信息

                               
登录/注册后可看大图

点击InitializeComponent方法，看一下这个窗口有哪些元素

                               
登录/注册后可看大图

如上图，引起我们注意的有两个元素，一个是500毫秒执行一次的Timer1（时钟1），另一个是一个label2（标签2）

那么我们大概能猜到，是时钟1每隔500毫米改变了一次标签2的内容。

为了验证我们这个想法，我在39行的label2上点击右键->分析

在下方的分析器里，我们可以找到它的一些分析内容

                               
登录/注册后可看大图

双击跟进Timer1_Tick去看看

                               
登录/注册后可看大图

发现这个方法里写了对label2的Text属性和ForeColor属性的修改。

右键编辑方法，把不需要的语句注释掉

                               
登录/注册后可看大图

编译，保存。

                               
登录/注册后可看大图

这次它就不会变了。

---

课件下载：https://www.lanzouw.com/i3r1yuf

课后作业是，想想明明laber2被赋值了文本内容和颜色，但为什么我们在被赋值里找不到它而是在被读取里找到了？

谢谢你的教程

学习了，感谢分享！

看看学习下 谢谢分享

woc，能直接编辑源代码了，成精了。

回帖是一种美德，顶贴是给楼主热心分享的动力！！！

请问我同样分析却没有出现那个timer是哪里的问题。
另外我不太明白，课后作业是，想想明明laber2被赋值了文本内容和颜色，但为什么我们在被赋值里找不到它而是在被读取里找到了？这句话。
是这样，他初始化的时候可能是赋值了一个颜色，当然也可能在不设置的情况下有默认颜色。因为颜色是有三种元素按一定比例混合后显示，它好像把这三种元素的比例随机化然后赋值，这样颜色就会一直变（每隔一段时间赋值一次），而且应该说每次变化都是随机的。

进来看看 发表于 2019-4-18 16:42
请问我同样分析却没有出现那个timer是哪里的问题。
另外我不太明白，课后作业是，想想明明laber2被赋值了 ...

你的dnspy和我版本一样吗？按你截图的分析也是可以的，跟进就行了。

对int a进行赋值：int a = 1;
读取a的值：int b = a;
然后读我留的作业去理解。

nicaia 发表于 2019-4-20 14:08
你的dnspy和我版本一样吗？按你截图的分析也是可以的，跟进就行了。

不是版本的问题，与你分析时点的地方有关。