大佬kkHAIKE有事，小弟代写WP。
用 IDA 分析程序，发现程序调用了很多文件处理相关的函数

用IDA动态调试程序，在IDA的输出窗口发现程序一直在load KillProcDLL.dll和unlaod KillProcDLL.dll
在KillProcDLL.dll所在目录，发现程序在临时目录一共释放出了5个dll文件
用PEiD分析5个dll文件发现Bamer.dll中用到了AES算法，怀疑核心代码在Bamer.dll中，用IDA打开Bamer.dll文件，发现其导出了ABCFGP6个函数，想看程序何时加载了Bamer.dll文件，于是在.text:0040203E call ds:LoadLibraryExA处下了一个断点，发现有一个线程一直在加载KillProcDLL.dll文件，只好把断点改为条件断点"C:\Users\pc\AppData\Local\Temp\nsh7002.tmp\KillProcDLL" not in GetManyBytes(GetRegValue("ESI"),100)
于是一直动态调试跟踪，发现有一个巨大的switch case结构，像是一直在解释代码执行。
在IDA中发现有Installer integrity check has failed字符串，百度搜索发现是NSIS中的提示信息，程序肯定与NSIS有关，那个解释器应该是在解释NSIS脚本，在网上发现7-ZipV15.05能提取NSIS脚本，对比NSIS源码，找到读取NSIS脚本的地方

发现源码中的头部标识为Null，被修改为了XXXX
修复文件头后，提取出NSIS脚本如下

程序会一直调用KillProcDL.dll中的KillProc来kill IDA和OD，但不知为何并没有关掉我的IDA，点击check按钮后会调用System.dll中的Call函数调用user32::GetWindowText(p$1,t.s,i1024)获取用户输入，然后调用Bamer.dll中的P函数检查输入的字符串是否只为0-9,a-z,A-Z，然后判断输入的长度是否为100，然后将输入的字符串用Bamer.dll中的B函数做一个变换（修改过的base64，多了一个异或），然后取了前11个字符做了检验

得到输入解码后的前11个字符为2018TSCRCTF，和00010拼接后以2018TSCRCTF00010作为密钥key，调用Bamer.dll中的A函数（修改过的AES，直接动态调试提取出roundkey,AES解密算法的初始轮密钥加和最后一轮轮密钥加的异或顺序被改变了，中间异或时还交换了第三列和第四列的位置）解密后64字节，然后取解密后的前11个字节传入func_133中校验，可编写z3脚本求出得到前11个字节为WelcomeHave，然后把后53字节的数据传入Bamer.dll中的C函数做36进制转换到4进制（大小写字母等价），然后把得到的数据和把WelcomeHave经func_615变换得到WelcomeToHaveFun，传入Bamer.dll中的G函数做检验，传入的WelcomeToHaveFun作密钥解密地图，4进制的数据相当于控制字母移动，G函数中有一个迷宫地图

aa 是各字符
bb 该字符起点坐标
cc 该字符终点坐标

C 函数输出画法 0 1 2 3 对应 左 右 上 下
每个字符，从起点坐标画同字符点，直到终点坐标，中间只能经过 .
比如 A 按照 画法 画到终点后，继续画法 画B
最后要填满地图，不能有 .

大佬手动解出

得到4进制数据为1113333333333000000333330033331113033111333030000222222111220000003333333333311111333333333111113112122222222221133333333000333333331111
从而得到36进制数据为32WSFUPIFV9TYJWWPH14NZZ85YDHXOLO37ATG4IYC4ZCDIKCA7EJ9
加上前WelcomeHave，经AES加密（修改过的）得到"\xb7\x39\x5a\xab\x55\x19\xa3\xe8\x0c\xb5\xd2\x51\x25\x08\xbc\xaa\x05\x2d\xf9\x25\x07\x38\x11\xc2\xe9\xce\xaa\x97\xb9\x64\x46\xe7\xfc\xcb\x76\x57\xc0\xa0\x3c\x74\x55\x5e\x3f\x02\x27\x29\x66\x56\xda\x50\xbd\xcc\xfa\xd7\x3f\xeb\x58\xa0\xa4\xda\x05\xf9\xbd\x05"
最后加上2018TSCRCTF，做base64(修改过的)编码得到注册码
MhAyOFQSR2JDUEb0OUopUQkh5Ax23nEnCLxoBT06JRd7EdLrwooWsXQG68wLcneAqDy3UU78AgdrYnabVL0M9vd852girNqF9a3F

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课