-
-
[原创]第七题 声名远扬WP
-
发表于: 2021-12-2 11:09 14758
-
程序使用了兼容模式下32位代码与64位代码的混合执行的技术。
当执行到.text:00B2D8A2 时,栈内存ebp+var_C如下:
当前CS段选择子为23h, 调用后的CS段选择子0x33(64位用户代码段).
0xB256F0所指的代码是64位代码,将其导出为二进制文件,使用IDA将其作为64位代码进行分析:
通过分析堆栈,可知验证函数为0xB255AC(同样为64位代码),导出分析:
算法较简单,静态分析即可,若想进行动态调试,可配置bochs调试(注意依赖数据也须导入到数据库),配置如下:
序列号算法:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
他的文章
- [原创]驱动保护-EAC内核调试检测分析 25445
- [原创]第七题 声名远扬WP 14759
- [原创]第二题 迷失丛林WP 12282
- [原创]签到题 身在何处WP 2776
- [原创]VMProtect分析(三) 24939
看原图
赞赏
雪币:
留言: