[逆向工程]160个CrackMe入门实战之Andrnalin.1解析（八）

[逆向工程]160个CrackMe入门实战之Andrnalin.1解析（八）

一.Andrnalin.1功能

爆破后成功验证：

二.查壳

vb语言 ，无壳，32位

三.逆向分析

3.1 爆破

直接入dbg进行分析，运行到用户代码（U),搜索-所有用户模块-字符串，发现有successful字样，查分析程序

00401D9D | 90 | nop | 这句会跳过成功入栈,所以nop掉尝试

打补丁保存程序后发现程序直接爆破

3.2 追码

追码。分析算法，附加原程序，根据经验或者说是规律吧，有以下类似代码的一般是段首地址。具体是哪一个事件的段首位置，根据实际情况来看。那么从successful字样往上查看分析代码时，00401CD0可能是ok事件段首，此处下断点

00401CD0 | 55 | push ebp |
00401CD1 | 8BEC | mov ebp,esp |

key输入值为1111,跟踪程序发现固定字符串SynTaX 2oo1,猜测这个可能是真码，尝试输入查看结果

00401D6A | FF15 E4304000 | call dword ptr ds:[<__vbaHresultCheckOb |
00401D70 | 8B4D D8 | mov ecx,dword ptr ss:[ebp-28] | [ebp-28]:L"1111"
00401D73 | 51 | push ecx | ecx:L"1111"
00401D74 | 68 541A4000 | push andrénalin.1.401A54 | 401A54:L"SynTaX 2oo1"

因此正确的Key值为：SynTaX 2oo1