1625-5 王子昂 总结《2017年5月26日》 【连续第237天总结】
A. 逆向-CrackMe(3)
B. 打开程序,先是一个持续7s的LOGO,作为NAG
然后是NAME/SERIAL
先处理序列号。跟昨天的2是同一个作者,直接搜索字符串或者查找msgbox的API都可以定位到判断跳转相关的位置
将跳转NOP掉即可爆破成功
与昨天相同的办法,向上一直翻到上一个retn,然后单步运行跟踪下来
这一个程序比昨天的直接相加相乘要复杂一些,进行了许多浮点数的转换
在查找vbaStrR8函数的时候发现了有常用函数的连接,粘贴记录下来:
http://www.cnblogs.com/bbdxf/p/3780187.html
。 自己跟的时候没看出来浮点数的变化,还有一些fxxx的指令没有见过,偷懒没看,后来查询的时候发现跟ST()位有关,相当于进行浮点数的运算
另外NAG,通过暂停和查找全局API的SETTIMER可以跟到系统领空的settimer函数,但是没办法找到程序领空的调用
不知道为什么单步运行过去的时候就不会触发NAG,直接F9运行却还是会触发
再另外,只能在输入框中输入数字,否则将触发异常导致退出
跟了一下这个异常,发现killtimer的调用者在sogoupy的领空里……不知道是什么意思
C. 明日计划
CrackMe(4) 争取独立写出注册机