crack me160题 第五题（序号27） Cosh 分析

蛋疼的一道题。

居然要在非硬盘的盘符内放一个名为 CD_CHECK.DAT的文件！（内容不限）

具体代码没细看，但是放在硬盘里应该不行。

关键代码是

00401368   . 53             PUSH EBX                                 ; /hTemplateFile00401369   . 53             PUSH EBX                                 ; |Attributes0040136A   . 53             PUSH EBX                                 ; |Mode0040136B   . 53             PUSH EBX                                 ; |pSecurity0040136C   . 6A 01          PUSH 1                                   ; |ShareMode = FILE_SHARE_READ   0040136E   . 68 00000080    PUSH 80000000                            ; |Access = GENERIC_READ00401373   . 50             PUSH EAX                                 ; |FileName<span style="white-space:pre"></span>文件名，和我上面说的一样！00401374   . FF15 00204000  CALL DWORD PTR DS:[<&KERNEL32.CreateFile>; \CreateFileA         上面都是参数啦~0040137A   . 83F8 FF        CMP EAX,-1<span style="white-space:pre"></span>上面那个函数的返回值，一个句柄，若函数失败返回-10040137D   . 8D4D E0        LEA ECX,DWORD PTR SS:[EBP-20]00401380   . 0F9445 F3      SETE BYTE PTR SS:[EBP-D]<span style="white-space:pre"></span>将E标志记录下来00401384   . E8 11030000    CALL <JMP.&MFC42.#800><span style="white-space:pre"></span>有待查证具体功能，但是这里不重要00401389   . 385D F3        CMP BYTE PTR SS:[EBP-D],BL<span style="white-space:pre"></span>读取刚才的E标志0040138C     0F84 F3000000  JE Cosh_1.00401485<span style="white-space:pre"></span>这里就跳转到成功的地方了！

然而 - = 笔者并没成功搞到一个设备存放这个文件，为了糊弄一下，直接把je 改成了jnz ，爆破成功 = =|||