分析软文,帮助新手学习分析技巧 - 脑补按摩,一看就懂 。
软件分析:
1.查信息、微步沙箱等
你知道它是一个32位的程序。
2.打开32dbg
运行
尝试输入些什么,发现密码错误
思考:为什么会密码错误?代码层面来说,它本地肯定存储有密码,有一个比较过程。
那么,这些数据存放在哪里?存放在我们电脑的内存之中,常识,所以这个时候我们需要去查看内存,就好像显示的内容存储在显卡的显存之中,这些都是一个个像素点。
这个时候,需要看内存布局。
搜索之前查找的数值(记得勾选整块)
OK,这里找到两个引用:
第一个引用没有出现其他数据,可能属于界面模块,非代码层
第二个模块出现一个人类可读字符在前,可猜测其为需要对比的密码字符串
07A7A38001 00 00 00 0F 00 00 00 43 57 2D 38 32 30 30 2D........CW-8200-
07A7A39043 52 41 43 4B 45 44 00 16 00 00 00 01 00 00 00CRACKED.........
密码应为:CW-8200-CRACKED
当然你也可以基于结果找答案,启动ida,通过字符串向上查找
查找引用
你会找到很可疑的对比汇编函数
按之前的思路,它肯定有对比才有正确的这个流程,找它之前的判定函数。你就能发现密码的对比变量
原文始发于微信公众号(硅步security):样本分析案例 - 001
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论