007-reg 的 write up
抄一百篇不如自己实践操作写一篇,尊重知识产权,写笔记辛苦,禁止转载!!!
1. 程序的执行
解释:随便输入的用户名和密码,点击OK后,弹出Reg提示框,而且还生成了一个reg.dll文件。
以文本形式打开生成出来的文件如下图:
但是再次输入一样的结果还是一样。
2. 查壳
无壳
3. 静态分析
1.首先将程序拖入32位IDA后先点击View(查看)——>Open subviews——>Strings,结果如下图:
温馨提示:该程序的此过程一定要快,要在程序还没完全加载的时候操纵才能显示出关键的字符串reg.dll等。
2.查看输入表,点击View——>Open subviews——>Imports,结果如下:
里面用到的API太多了,想看可以自己再分析看,大概还是和文件操作有关。所以我们还是再进对关键字符串reg.dll进行交叉引用跟踪,手速一定要快。
跟踪第一个reg.dll后,可以看到用到的参数如下图:
继续跟踪,分析汇编其功能如下图:
然后再来一次回去跟踪第二个reg.dll后,可以看到需要用到的参数如下图:
继续跟踪就会发现新的一段汇编代码分析功能如下图:
所以我们就是可以猜测,这里是关键跳转,他上面调用的关键函数45D0F4就是算法函数,跟踪进去如下图:
上面只是算法的部分,这里具体生成用户名对应SN的代码过于复杂,暂时还写不出来注册机,但这里程序在分析过程中会出现SN真码明文,这里也就到此结束了,使用该SN打开程序用OD动态调试出现如下硬编码:
所以用户名为123的时候,注册码就为:B0345628C1533E20
结果如下:
