第一次发主题帖，^_^.

1.
反调试相关代码


2.
用X64Dbg 附加进程
bp GetWindowTextW
.text:100139EF                 push    [ebp+nMaxCount] ; nMaxCount
.text:100139F2                 push    [ebp+lpString]  ; lpString
.text:100139F5                 push    dword ptr [edi+20h] ; hWnd
.text:100139F8                 call    ds:GetWindowTextW
.text:100139FE                 jmp     short loc_10013A54

找到对代码所在函数sub_ 100139DA,的调用sub_10007CC0


3.IDA ,X ,查找对全局变量ybStringbyte_101AC480的引用：
.text:10007B8F                 mov     eax, [edx+edi*4]
.text:10007B92                 push    offset ybStringbyte_101AC480
.text:10007B97                 call    eax
4.单步调试，下断点到10007B97  call 402450, 实际调用函数在主exe中,不在DLL中，应该是作者设置的一个圈套。函数ybCkeStr_402450即校验注册码的函数。



附件PDF： ctf17分析.pdf

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

• 1.jpg （80.58kb，4次下载）
• 2.jpg （47.52kb，1次下载）
• 4.jpg （66.09kb，1次下载）
• ctf17分析.pdf （157.65kb，14次下载）