逆向一期/014/push窗体法

push窗体法

程序载入OD，点击箭头所指摁钮（快捷键Ctrl+G）

运行到401000处

右键，查找二进制字符串

输入FF 25，注意，这里是找窗体事件，而不是摁钮事件

为了操作方便，再打开一个OD，更刚才操作一样

在其中一个，右键，查找，输入 push 10001

来到这里，看下面那个push 0x520开头的，这就是一个易语言窗体，每个窗体都有不同的“名字”

把这个复制到之前的FF 25处

这样打开程序出现的第一个窗体就是改的这个，而不是之前程序设定的，这个是改完了的样子

保存一下，但是这并不是希望得到的，这是一个重置密码窗口，不是正常操作窗口

回到第二个OD，窗口，Ctrl+L继续找下一个push 0x520...

总有一个是正常操作界面

大多数保存出来的会打开一个子窗体，有的会有提示，但是有一个根本打不开，猜测是这个，应该是有一个暗桩，自动退出了