易语言逆向分析1

子窗体

0040100B  /.  55            push ebp0040100C  |.  8BEC          mov ebp,esp//窗体的主要特征0040100E  |.  68 02000080   push 0x8000000200401013  |.  6A 00         push 0x000401015  |.  68 01000000   push 0x10040101A  |.  6A 00         push 0x00040101C  |.  6A 00         push 0x00040101E  |.  6A 00         push 0x000401020  |.  68 01000100   push 0x1000100401025  |.  68 09000106   push 0x60100090040102A  |.  68 0A000152   push 0x5201000A**0040102F  |.  68 03000000   push 0x300401034  |.  BB A0104000   mov ebx,窗体.004010A000401039  |.  E8 54000000   call 窗体.004010920040103E  |.  83C4 28       add esp,0x2800401041  |.  8BE5          mov esp,ebp00401043  |.  5D            pop ebp00401044  \.  C3            retn

主窗体特征

**0040106B  |.  68 01000152   push 0x52010001**

易语言按钮事件

FF 55 FC 5F 5E

00416DDD  |> \FF55 FC       call [local.1]00416DE0  |.  5F            pop edi00416DE1  |.  5E            pop esi

时钟事件。

SetTimer
函数头 ret 掉 就干掉的时钟事件

信息框

00401013  /.  55            push ebp00401014  |.  8BEC          mov ebp,esp00401016  |.  BB 06000000   mov ebx,0x60040101B  |.  E8 EBFFFFFF   call 窗体.0040100B**00401020  |.  68 01030080   push 0x8000030100401025  |.  6A 00         push 0x000401027  |.  68 00000000   push 0x00040102C  |.  68 04000080   push 0x8000000400401031  |.  6A 00         push 0x0**//0047C6A8 这个地址内容是信息框的内容00401033  |.  68 A8C64700   push 窗体.0047C6A800401038  |.  68 04000000   push 0x40040103D  |.  BB E0114000   mov ebx,窗体.004011E000401042  |.  E8 54000000   call 窗体.0040109B00401047  |.  83C4 34       add esp,0x340040104A  |.  8BE5          mov esp,ebp0040104C  |.  5D            pop ebp

退出

易语言 退出
结束（）
也可以下 ExitProcesss断点

或者搜索二进制 FF 25 到跳转表

一般从后面往前 一个跟随进去看看 看到api 就找到了

去掉退出暗装
直接ret掉就可以

易语言花指令
花指令就是干扰破解者的汇编指令

od  使用这个插件就可以去除这些1.E Junk Code.dll2.ctrl+上下方向键盘 进行微调整

爆破易语言程序 一定要留意大跳转