版本

Gnu Prolog 1.4.5
(compiled under x86_64 / Windows 7 with MSVC++)

起因

由于Gnu Prolog Setting中默认的最大内存大小才32kb，实在不够看，所以lz在Setting里面将它调大了一些。
重启软件就闪出命令行窗口，不能打开GUI。

分析

PwSh中执行gprolog.exe，看到以下报错：

应该是lz设置内存大小不当，导致内存页保护的函数Error了。
试着重装让其恢复默认，但是遗憾的是卸载的并不干净，程序的配置依然没有删除，重新安装后依然默认读取以前的配置，程序还是进不去……
卸载时lz注意到程序目录里面的文件是删除的很干净了，而重装回来的程序依然能读取到配置，故猜想程序的配置是保存在注册表中的。
所以思路就是删掉配置，让gprolog恢复默认，嗯，就酱。

逆向

扔进ida64，看导入表：
发现确实有注册表读写操作，查看函数的Xref交叉引用，定位到sub_48FDF0。

可以看出是进入HK\Software\GnuProlog中读取键值，但是这个HK具体是啥我不知道（对应图中hKey参数，是一个常量），索性百度一下RegOpenKeyEx。

ok，这回知道常量名字是啥了，拿出masm32的window.inc打开，搜索常量名字。

这回终于知道读取的是哪个主键了，HKCU。

解决

注册表找到HKCU\Software\GnuProlog，发现果然储存着配置，直接整个注册表项干掉。
重新打开gprolog.exe，它终于正！常！启！动！了！泪目！

反思

完成后lz突然想到，这玩意是Gnu的软件啊！也就是说他是开源的，那我逆向岂不是逆了个寂寞……
所以lz试了一下仅凭源代码能不能找到配置在注册表的位置。
翻了一下官网，源代码在SourceForge托管，上去逛了一圈，没找到仓库内搜索。
索性跑去github上建了个空仓库，从SourceForge Import了一份源代码。

ok现在借用一下github的仓库内搜索功能，直接搜Register(翻译过来是注册表项)，果然找到了：

看来是绕了个大圈子，有源码我不看，偏偏要逆向，闹笑话了，哈哈。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界