运行分析
- 除了主程序还有一个dll文件,应该是要加载pf1.dll这个动态链接库
- 运行主程序,需破解Name和Serial,点击注册无反应
PE分析
- C++程序,32位,无壳
静态分析&动态调试
- 尝试ida动调加载动态链接库pf1.dll,弹出错误,推测存在反反调试
- 使用OD的StrongOD插件绕过反反调试,设置参数如上
- 程序拖入OD,点击F9,发现程序正常运行
- 点击菜单栏下方的’e’按钮,查看加载的dll,双击进入pf1.dll
- 来到pf1模块,右键 -> 中文搜索引擎 -> 智能搜索
- 发现successful字符串,双击进入
- 发现关键跳转地址02571108,为了满足判断条件test eax,eax,需要执行025710E4的jmp跳转
- 从关键跳转处向上查找,发现2个循环,和一个常量"fytugjhkuijonlbpvqmcnxbvzdaeqrwtryetdgfkgphonuivmdbxfanqydexzwztqnkcfkvcpvlbmhotyiufdkdnjxuzyqhfstae"
- 第1个循环:提取Name每个字符,除以0x62求余,将余数和余数+1作为上面常量的下标,提取其字母,然后依次存入地址1中
- 第2个循环:判断地址1和Serial每个字符串是否相等
算法分析
Name = 'concealbear'
str1 = 'fytugjhkuijonlbpvqmcnxbvzdaeqrwtryetdgfkgphonuivmdbxfanqydexzwztqnkcfkvcpvlbmhotyiufdkdnjxuzyqhfstae'address1 = ''
for i in range(len(Name)):address1 += str1[ord(Name[i])%0x62]address1 += str1[ord(Name[i])%0x62 + 1]Serial = address1print(Name + '的Serial为:\n' + Serial)
- 验证成功