1.下载查壳,跑一遍
提示输入,随便输入后结束程序
2.使用IDA静态分析,拖进去直接F5伪代码分析
v7 = strcmp(byte_40336C, aXircjR2twsv3pt);
if ( v7 )
v7 = v7 < 0 ? -1 : 1;
if ( !v7 )
{
sub_401020("right\n", Arglist[0]);
system("pause");
}
从伪代码中可以看到关键字符"right\n",那这里可以直接看出这个sub_401020指定就是输入正确后的提示函数,但是要执行sub_401020函数则需要v7是一个非零的数,那么我们就跟踪v7,可以从整个main函数中看到,对v7变量做出更改的只有一下两个地方
v7 = strcmp(byte_40336C, aXircjR2twsv3pt);
if ( v7 )
v7 = v7 < 0 ? -1 : 1;
第一个地方v7是byte_40336C变量与aXircjR2