新160个crackme - 065-Eternal Bliss

运行分析

• 选择验证方式，破解字符串
• 标题提示为vb程序

---

PE分析

• VB程序，32位，无壳

---

静态分析&动态调试

• 使用VB Decompiler进行分析，发现Command1_Click_403604为check按钮事件，需要使Me = 1

---

CBool(expression)   ' 将表达式转换为布尔值
CByte(expression)   ' 将表达式转换为字节类型
CCur(expression)    ' 将表达式转换为货币类型
CDate(expression)   ' 将表达式转换为日期类型
CDbl(expression)    ' 将表达式转换为双精度浮点数
CDec(expression)    ' 将表达式转换为十进制类型
CInt(expression)    ' 将表达式转换为整数类型
CLng(expression)    ' 将表达式转换为长整型
CLngLng(expression) ' （只在 64 位平台上有效）将表达式转换为长长整型
CLngPtr(expression) ' 将表达式转换为指针类型（长整型）
CSng(expression)    ' 将表达式转换为单精度浮点数
CStr(expression)    ' 将表达式转换为字符串类型
CVar(expression)    ' 将表达式转换为变体类型
CStr(expression)    ' 将表达式转换为字符串类型（重复）

• 上面是VB数据转换函数

---

String

• 打开strin_40449F函数，发现和String字符串对比
  
• 验证成功

---

Variant

• 打开vari_4045D2函数，与字符串Empty对比
  
• 验证成功

---

Long

• 打开vari_4045D2函数进行分析：
• var_28 = Text1.Text，即将输入字符串赋值给var_28
• var_20 = CLng(var_28) ，将var_28转int赋值给var_20
• If var_24 = 0 Then，需要满足这个比较，但是感觉反编译有问题，需要查看汇编代码
  
• 打开反汇编代码搜索var_24，发现赋值为002C2FAE
  
• 搜索地址004047F7处，发现关键对比为cmp eax, var_20
  
• 向上追踪eax，发现是var_20 = CLng(var_28)所在地址，即eax = cLng(Text1.Text)，也就是字符串转十进制处
  
• 计算器得到输入字符串为2,895,790
  
• 验证成功

---

Currency

• 双击 curr_40486D分析
  
• 找到Var_2C为08180754
• ccur会将输入的值*1000
• 即eax = 0x08180754 / 10000 = 135792468 /10000 = 13579.2468
  
• 验证成功

---

Single

• 双击sing_404B05函数分析，发现与9764317691904作对比
  
• 验证成功

---

Double

• 双击dou_404C4D分析，发现1.47258369789456E17，即1.47258369789456 * 10^17次方
  
• 验证成功

---

Integer

• 双击 inte_404D95分析，发现输入与var_24需要相等，查找到var_24值为5BEF，变为int型为
  
• 验证成功

---

Byte

• 分析byt_4049BE函数，输入值要与var_24相等，查看到var_24疑似00EF（十进制为239）
  
• 验证成功

---