运行分析
- 运行程序提示购买许可证,不让打开
PE分析
- ASM程序,32位,无壳
静态分析&动态调试
- ida搜索字符串,找到字符串"You really did it! Congratz !!!“和"Keyfile.dat”,猜测Keyfile.dat为许可证文件
- 转到关键函数,F5发现401218:call analysis failed错误,即函数参数数量识别错误
- 找到00401218地址处,点击Y,将函数参数去掉后点击OK,发现红底报错消失,可以正常F5
- 对关键函数进行静态分析,成功弹窗条件如下:
- 1、同目录下需存在Keyfile.dat文件
- 2、Keyfile.dat文件内容长度需大于等于16
- 3、Keyfile.dat文件内容包含8个及以上的’G’
- 同目录下创建Keyfile.dat文件,输入内容GGGGGGGG12345678并保存
- 运行程序返回成功弹窗