-
-
Riijj系列之cm14分析+注册机
-
发表于: 2013-2-1 16:15
-
Riijj系列之cm14分析+注册机
工具:IDA6.1+WinDBG
系统:WinXP sp3
CM :下载cm14 riijjcm14.zip
昨天公司开年会到晚上十二点钟,完了就和同事们打牌到早晨5点多钟,玩的挺Hi
,没来的及发,现在补上!
这个CM14有点恶作剧的意思,riijj故意设置了一个陷阱给调试的人。因为算法部分有两个。只有一个是真的,假的那个你进去之后会面临很大的计算量并且即使你分析出结果,“强制跳转”会弹出个空的提示框,没有任何提示(标题和内容为空),之后不要诧异点击确定之后程序就进入了死循环。
Cm14与cm11结构很相似,程序主窗体前有同样的反调试代码。相似部分请参考cm11的分析
下面用IDA大致看下流程
sub_401920中
主要有一个创建对话框CreateDialogParamA和两个创建定时器SetTimer这三个部分也就是程序的关键点
CreateDialogParamA的回调函数中主要有一个设置变量的操作
1 2 3 4 | ___setargv proc nearmov dword_40A634, 1retn___setargv endp |
1 2 3 4 5 6 7 8 9 10 11 | int __stdcall TimerFunc(int a1, int a2, int a3, int a4){ int result; // eax@1 result = dword_40A634; if ( dword_40A634 ) ;当dword_40A634=1时, { dword_40A634 = 0; ;清dword_40A634=0 result = dword_40A630(); ;调用dword_40A630过程; } return result;} |
1 2 3 4 5 6 7 8 9 | int __stdcall sub_4017F0(int a1, int a2, int a3, int a4){ int result; // eax@1 result = sub_401260(); dword_40A630 = sub_401060; ;置dword_40A630 = 过程A if ( (_BYTE)result ) ;sub_401260()返回为1时 dword_40A630 = sub_401490; ;置dword_40A630 = 过程B return result;} |
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2024-5-31 06:59
心游尘世外
为你点赞~
2024-5-31 03:54
QinBeast
为你点赞~
2024-5-31 03:44
飘零丶
为你点赞~
2024-4-2 04:43
shinratensei
为你点赞~
2024-2-4 00:59
PLEBFE
为你点赞~
2023-3-7 00:36
|
|
|---|---|
|
|
前排占位 LZ受精上瘾了 支持
|
|
|
|
|
|
Thanks for share.
|
|
|
|
|
|
|
|
|
|
