学习：VB之p-code寻找操作数

p-code的特点：在程序创建窗体之前，不会创建p-code，创建完，当在用功能的时候才会去初始化p-code

逆向过程：

第一种方法：手动

1、载入OD，发现有进行p-code初始化的api函数，第一个红标处，第二个红标处是程序的入口地址

2、跟随api函数enter来到如下，进行断点，然后运行程序，输入相应的假码，成功断在如下位置

3、因为p-code的指令和操作码肯定存储在代码区的，所以一个好的方法推荐就是在内存窗口中给代码区设置一个内存断点，

4、然后继续F9运行，寻找第一操作数，一般可找的指令类似这种mov al,byte ptr ds:[esi]，F9直到找到这条，如下

第二种方法：exdec工具

还有个方法可以直接拿exdec工具先分析下，然后数据窗口中跟随地址下内存断点F9运行也可以

1、分析结果如下

2、直接在数据窗口搜索第一个操作数的地址401CC0，设置内存断点

3、运行程序，输入用户名和假码，发现成功断点