这是(shì)TraceMe.exe下载,TraceMe.exe为(wéi)搜索盘收集(jí)整理(lǐ)于百度云网盘资源(yuán),搜(sōu)索盘不提(tí)供(gòng)保存服务,下载地址跳到百度(dù)云盘下载,文件的安全性和完整性请您自行判断。如果感觉本站提供的服务(wù)对于您有帮助,请(qǐng)按 Ctrl+D 收藏(cáng)本(běn)网站,感谢您对本站(zhàn)的支持。
TraceMe.exe统是OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参(cān)数执行,程序(xù)运行之(zhī)后(hòu)会触发(fā)一个(gè)INT13,在(zài)系(xì)统空间里(lǐ)。
这个循环一(yī)股脑的在计算什么东西(xī),目测就是序列号了(le)
分析算法可得(dé),循环跳过用户名的前3个字符,依次将字符的Ascii码与一段程序内(nèi)的内存对应相乘,并且将结果累加(jiā)到Esi
分(fèn)析下各(gè)个寄存器的作(zuò)用
EAX:程序内(nèi)的内存指针,与(yǔ)ECX一同递增,每次与字符Ascii相乘,且运算完第(dì)8个(gè)数(shù)后循环回第一个数(shù)
ECX:用户(hù)名内存(cún)指针,跳过用户名前(qián)3个字符
BL:字符Ascii
DL:和字符Ascii相乘的Hex
ESI:结果存放
EDI就是字符串长度,判断是不(bú)是(shì)要(yào)继续循(xún)环
到这里算法(fǎ)分析(xī)就基本结束了
循(xún)环结束后,将Hex换成等价的(de)十进制数,并与用户输入的进行(háng)对比,相同则成功(gōng)
OD加载程序,可以看到(dào)有(yǒu)2个输(shū)入框
由于要逆(nì)向分析,应该在程序获取用户输入之后,做计算(suàn)之前(qián)开(kāi)始分析
定(dìng)下思路,先向得到字符串(chuàn)的函数下断,然后返回、跟踪(zōng)程(chéng)序代码分析即(jí)可。
