Ollydbg 中文搜索插件（专门对付VB）

天空之蓝 · 发表于 2010-12-19 19:56:08

本帖最后由天空之蓝于 2010-12-19 20:01 编辑

为了学习**，这几天我找了一个考试系统来**（在论坛上都有人**，我也破来玩玩），不想VB程序果然NB，在搜索字符串上什么都搜索不到（什么超级搜索插件我都有了的），我以为字符串加密了，不能从字符串着手了，无奈之下下万能断点，总算找到入口点，可是狡猾的作者卖弄了下小聪明，我只有开个IDA慢慢研究它的算法，怎么知道VB的代码果然是又臭有又，随便一提，VB中的变量不是直接地址，前4个字节是声明变量类型，数据地址在第9字节，在坚持了一天之后放弃抵抗，转而去寻找有没有什么可以直接逆向VB代码的，本来按理说VB是高级语言，而且是解释语言，应该很好破，果然找啊找，找到了一个叫Rezq的程序，可以逆向出窗口等等，就是代码还是汇编不能逆向，不料在汇编代码中找到了我想要的KEY，原来字符串没有加密！看来是我的Ollydbg的问题了，开始上网找插件啦，可是找了很久没找到，还是自己写吧，我安慰自己。正好这时找到了罗聪大哥的字符串搜索的源代码，太爽了，接下来就是要研究ASCII和UNICODE到底是什么东西了，我承认我那时候都不懂是什么东西，我的原则就是用到了再学，没必要浪费时间。研究了半天，然后调试了半天，终于得到了我想要的效果，逆向VB直接显示出KEY，KEY真的是太重要了，是开门的钥匙，不然茫茫人海，你不可能找到某个人。其实原来的OD插件只是少了个将Unicode字符串转化成ASCII字符串的过程。我想大家也需要吧？立即共享给大家

2010.12.15
增加了对繁体字的识别，自动将搜索到的繁体字符串转化为简体字符串，感谢a2213572的反馈

2010.11.29
增加了强制搜索，对于一些狡猾的程序需要启动强制搜索模式，使用方法：启动强制模式即可搜索，感谢吾爱老大的反馈

2010.11.26
修复了分析UNICODE字符时出现图形符号无法分析的BUG，感谢dkhdw和TheEnd的反馈
感谢dkhdw和TheEnd的反馈，这个BUG在11.24版中就已经出现，但是没有被我发现，出现BUG的原因如上所说，那次更新为了减少乱码出现的几率，所以处理UNICODE的时候过滤了非简体中文的字符串，但这同时也过滤了图形符号编码，所以出现图形符号就无法分析，所以分析出的数据就少了很多，诚如TheEnd所说分析出的数据是减少了，dkhdw所说的C32ASM分析出的数据比我的多，我才开始拿C32ASM来对照，果然如此，才发现了问题，在此感谢两位的热心帮助，估计近期不会有什么更新了，更新频繁真对不起大家，呵呵

2010.11.25
修复了地址解析的一些BUG，修复了智能搜索的一些BUG，增加了一些智能算法

2010.11.24
添加了智能搜索的功能，自动使用ASC和Unicode方式尝试，寻找最优的字符串，并修正了字符串过长而导致崩溃的BUG，多谢老大反馈，：）

2010.11.21
添加了将搜索出的字符串写入注释的功能，多谢吾爱老大的反馈，顺便祝贺论坛恢复正常，\(^o^)/~

2010.11.2
添加了读取地址映射的字符串的功能。
由于有些数据是不是字符串，而是字符串的地址，解析为字符串就会错误，必须跟踪进入地址读取字符串。字符串和地址数据都一样？汗，那我就无能为力了。不过那几率也太小了吧。

2010.10.29
紧急更新：修复了只能搜索中文不能搜索英文的BUG！

看看分析出来的KEY