两种方法查找易语言非独立编译程序的字符串

yangand

第一种方法，大家肯定都知道，先搜字符串找到“krnln.fnr”,找到下面的第二个CALL EAX下断，F9到这里，然后F7加F8跟到如下易语言原体的地方再次搜字符串就能搜到了。
00403384    FC              cld
00403385    DBE3            finit
00403387    E8 F6FFFFFF     call abc.00403382
0040338C    68 83334000     push abc.00403383
00403391    B8 03000000     mov eax,0x3
00403396    E8 32000000     call abc.004033CD
0040339B    83C4 04         add esp,0x4
0040339E    68 01000152     push 0x52010001
004033A3    E8 1F000000     call abc.004033C7
004033A8    83C4 04         add esp,0x4
004033AB    6A 00           push 0x0
004033AD    E8 0F000000     call abc.004033C1
004033B2    E8 04000000     call abc.004033BB
004033B7    83C4 04         add esp,0x4
004033BA    C3              retn

第二种方法要比第一种方法更快更简单。
第一步先找到程序文件的DATA段的起始地址。通常都是00403000.第一步基本上可以省略。
第二步直接运行程序，再CTRL+G，定位到DATA段的起始位置，即00403000.再搜字符串就可以搜出来了。其实和一般的程序差不多，其它的程序是先运行，然后定位00401000开始搜字符串，不同的是独立编译的易语言程序要定位到00403000

nilinweiwo

沙发给奖励撒！支持下楼主！

wecoco

新手学习啦

Cser2

{:1_931:}必须膜拜

qzy0549

必须得给楼主纠正下 你这个是易语言的非独立编译 而不是独立编译

1354669803

虽然不懂啥是独立编译 是静态编译和编译吗？支持下

Sound

此方法为E语言非独立编译
主题错误 代为修改 请理解

yangand

Sound 发表于 2012-6-8 16:56
此方法为E语言非独立编译
主题错误 代为修改 请理解

谢谢修改

赛浩

请问第一种方法是在小生我怕怕的教程里看的吗    现在可以告诉我是第几课  或者把具体方法给我  我往了