170601 逆向-CrackMe之008

1625-5 王子昂 总结《2017年6月1日》 【连续第243天总结】

A.CrakckMe(8)

加密与解密字符串

B.把8号拖入PEiD，无壳，是VB写的

打开，只有一个文本输入框和确认按钮，特别小巧

随便输入一个，点击OK……

   (╯°Д°)╯︵┻━┻哪国语啊这是

就当它是失败的意思吧……拖到OD里，直接文本串搜索，找到了四个看起来有意义的文本，其中两个如上，还有两个有SUCCESFUL的。双击跳转至地址，下断，再运行一遍就确认了

上下看看，正确与错误文本之间有一个跳转，那很明显，NOP掉，爆破成功

从最上方跟起，一步一步运行下来，到最后才出现输入的文本，然后直接存储于内存中的字符串“SynTaX 2oo1 ”进行StrCmp文本比较函数。那么很明显，没有任何计算，直接输入SynTaX 2oo1 即可

看论坛上别人的方法，还有更一般性地找到程序地址的方法：在弹窗的地方进入OD，暂停后ALT+K调出堆栈窗口，找到返回地址（即调用函数）。在其他内存中不直接出现字符串的程序中，这个方法利用函数的特性，更加有效。

C.明日计划

CrackMe(9)