X64DBG, Notepad++

程序使用了多种调试器检测方法, 包括PEB,父进程等, 可编写脚本Patch程序检测逻辑, 如下(exe基地址为B80000):

下面可以分析程序检测流程了(可先行恢复部分花指令混淆).

RVA_50F1: HASH(UserName) ==> hash:        7A 1A B1 C6 A2 99 9F 97 97 F5 AB D5 B4 9F D9 A0

RVA_5146: HASH(hash[0-7])   ==> hash1:      51 0B 3D 82 CB 55 77 B5 DC 1A 90 82 33 C1 2A 36

RVA_519B: HASH(hash[8-F])   ==> hash2:      F5 0B AB E1 20 7E 50 75 31 2B 89 60 C1 9E F1 44

1. RVA_5208: 编码算法A

2. RVA_529A: AES加密

3. RVA_52D0 - RVA_52F3: 压缩_算法A

4: RVA_53A3: 加密_算法A

5: RVA_53B3 - RVA_53D0: 与hash1做比较, 结果作为验证结果.

1. RVA_53E3: 压缩_算法B

2. RVA_53FE: 编码_算法B

3: RVA_541E: 校验算法(hash2), 结果作为验证结果

SERI[0-1F]及SERI[20-DF]皆验证通过, 则提示'注册成功', 否则提示'注册失败'.

因此, HASH算法无需分析,分别根据hash1和hash2逆算SERI[0-1F]及SERI[20-DF]即可.

该算法有VM处理, 需特殊分析, 分析方法如下:

下日志断点如下(基地址为1070000):

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！