[原创]第三题 crackMe-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

奔跑的阿狸

2017-10-29 12:52

3985

1. 运行程序，OD附加到进程，GetDlgItemTextA下断点能定位到关键CALL 434EF0，里面处理消息事件

2. 然后这个程序存在很多的反调试，必须全部干掉

00430B10：检测了好多逆向软件的窗口类名

0042DA7D：单步检测

0042D389、004314F0、004317C0：反调试检测

004305B0：反调试调用的退出CALL，直接干掉

3. 下面就可以愉快的调试分析了！

base64特征还是比较明显的；

收藏・0

免费・1

支持

最新回复 (3)
何小龙雪币： 424 活跃值： (40) 能力值： ( LV10，RANK：160 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	何小龙 2 2 楼 666 2017-10-30 18:06 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 3 楼不错！ 2017-10-30 19:09 0
奔跑的阿狸雪币： 3508 活跃值： (4634) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 136 粉丝 25 关注私信	奔跑的阿狸 1 4 楼聖blue 不错！谢谢 2017-10-30 20:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

奔跑的阿狸

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
何小龙雪币： 424 活跃值： (40) 能力值： ( LV10，RANK：160 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	何小龙 2 2 楼 666 2017-10-30 18:06 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 3 楼不错！ 2017-10-30 19:09 0
奔跑的阿狸雪币： 3508 活跃值： (4634) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 136 粉丝 25 关注私信	奔跑的阿狸 1 4 楼聖blue 不错！谢谢 2017-10-30 20:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复