易语言特征码的应用

一、本章概要 

注：搜特征码一定要从代码段的开始搜索，防止别人加了壳之后你不知道怎么搞，然后ctrl+b把特征码（比如ff55fc5f5e）粘贴进去 

搜到test edx,3往上面看有没有上面三句，有就是易语言的特征码

按钮事件：易语言控件消息派发函数

易语言的字符比较永远是这样，除非他加了VM，我加花指令让他全是test edx,3 

真码在ecx当中，我们输入的字符串存储在edx当中

然后往回跟，很快就能跟到破解的关键位置(je->jmp):

相当于以下内容： 

  

你test edx,3相当于"文本一==文本二"，肯定是要字符串比较的，然后这个函数接着往下走不就是根据他的结果来弹出对话框了吗（也就是我们所说的关键位置），这个文本比较函数是易语言帮我们实现好的

那我岂不是可以直接在开头就mov eax,0 然后ret掉，相当于是把所有的比较都给干掉了

二、特征码FF55FC5F5E 

 点击按钮程序就被断下来了：

进来以后就是关键位置了：

按钮事件很重要，你点了按钮，程序无论怎么走，最终都会走到按钮事件这里来 

三、易语言体FF25

易语言的所有东西都会走这：

通常上面的两个不用下断点：

往后跟肯定也会跟到关键位置

这几个地方模仿的IAT表

链接器最大的作用是辅助我们调试，可以生成符号，在VS2019当中点击连接器，就知道他具备什么功能了

易语言的作者只写了编译器，连接器是直接使用的VC6.0的，因此我们可以通过各种方法对连接器做手脚，把他的符号弄出来 

调试符号本身就存储在PE文件当中：

当然release版本当中是没有的

研究MFC的库，为什么要MFC的库？》肯定要用到MFC的功能，把MFC的库研究明白了，易语言就明白了

四、易语言失败的两个地方

1、使用的微软提供的连接器，MFC的库

2、把易语言的核心库开源了

MFC直接F11进去就看到源码了

五、课后作业