-
-
[原创][看雪CTF2016]第十七题调试与分析
-
发表于: 2016-12-6 19:10
-
第一次发主题帖,^_^.
1.
反调试相关代码
2.
用X64Dbg 附加进程
bp GetWindowTextW
.text:100139EF push [ebp+nMaxCount] ; nMaxCount
.text:100139F2 push [ebp+lpString] ; lpString
.text:100139F5 push dword ptr [edi+20h] ; hWnd
.text:100139F8 call ds:GetWindowTextW
.text:100139FE jmp short loc_10013A54
找到对代码所在函数sub_ 100139DA,的调用sub_10007CC0
3.IDA ,X ,查找对全局变量ybStringbyte_101AC480的引用:
.text:10007B8F mov eax, [edx+edi*4]
.text:10007B92 push offset ybStringbyte_101AC480
.text:10007B97 call eax
4.单步调试,下断点到10007B97 call 402450, 实际调用函数在主exe中,不在DLL中,应该是作者设置的一个圈套。函数ybCkeStr_402450即校验注册码的函数。
附件PDF: ctf17分析.pdf
1.
反调试相关代码
2.
用X64Dbg 附加进程
bp GetWindowTextW
.text:100139EF push [ebp+nMaxCount] ; nMaxCount
.text:100139F2 push [ebp+lpString] ; lpString
.text:100139F5 push dword ptr [edi+20h] ; hWnd
.text:100139F8 call ds:GetWindowTextW
.text:100139FE jmp short loc_10013A54
找到对代码所在函数sub_ 100139DA,的调用sub_10007CC0
3.IDA ,X ,查找对全局变量ybStringbyte_101AC480的引用:
.text:10007B8F mov eax, [edx+edi*4]
.text:10007B92 push offset ybStringbyte_101AC480
.text:10007B97 call eax
4.单步调试,下断点到10007B97 call 402450, 实际调用函数在主exe中,不在DLL中,应该是作者设置的一个圈套。函数ybCkeStr_402450即校验注册码的函数。
附件PDF: ctf17分析.pdf
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
