首页
论坛
课程
招聘
[分享]第3题 crackMe 解题思路分享
2017-10-28 15:36 1725

[分享]第3题 crackMe 解题思路分享

2017-10-28 15:36
1725
发现这题,好几个地方都有反调试手段。还有没有加怪异的壳。

例如: 

int sub_A01190()
{
  int v0; // edx@1
  int v1; // ecx@1
  char v3; // [sp+Ch] [bp-CCh]@1
  int v4; // [sp+D0h] [bp-8h]@1

  memset(&v3, 0xCCu, 0xCCu);
  v4 = -1;
  v4 = sub_9FD2E4("ollyice.exe");
  if ( v4 == -1 )
  {
    v4 = sub_9FD2E4("idag.exe");
    if ( v4 == -1 )
    {
      v4 = sub_9FD2E4("ollydbg.exe");
      if ( v4 == -1 )
      {
        v4 = sub_9FD2E4("peid.exe");
        if ( v4 == -1 )
        {
          v4 = sub_9FD2E4("softice.exe");
          if ( v4 == -1 )
          {
            v4 = sub_9FD2E4("lordpe.exe");
            if ( v4 == -1 )
            {
              v4 = sub_9FD2E4("importrec.exe");
              if ( v4 == -1 )
              {
                v4 = sub_9FD2E4("w32dsm89.exe");
                if ( v4 == -1 )
                  v4 = sub_9FD2E4("windbg.exe");
              }
            }
          }
        }
      }
    }
  }
  return sub_9FDE51(v1, v0);
}

把IDA改名和改窗口名称,然后用IDA进行动态跟踪调试,


我们要解决让函数来到这里的条件。

memcmp下断点,然后段下来后,发现在内存中其实是明文对比。


本来没有把握,尝试在论坛上提交,发现成功。

算法部分,暂时还没有逆向。


[培训]12月3日2020京麒网络安全大会《物联网安全攻防实战》训练营,正在火热报名中!地点:北京 · 新云南皇冠假日酒店

收藏
点赞0
打赏
分享
最新回复 (1)
雪    币: 79
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
黑殇 活跃值 2017-12-18 21:06
2
0
您好,请问把"IDA改名和改窗口名称"中更改窗口名称是如何实现的,也就是如何更改调试器在任务管理器中的进程名来实现绕过?
游客
登录 | 注册 方可回帖
返回