crack Tut.ReverseMe1.exe

标签：reverse   gif   strcmp   https   就是   rcm   lan   技术   col   

测试文件：https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE7ZLB3oBGUcJmKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w

删除多余窗口

找出多余窗口

将这个窗口删除，并找出Recode

和上一个分析的结构类似，都将结构体传入参数之后，间接调用。

两种方法找到需要的字符串

1. 在查找所有参考文本字串之后，找到需要删除窗口所提示的字符换，
2. 找到VB中的MSVBVM50.rtcMsgBox，也就找到了需要删除的窗口。

下面展示第二种方法:

找到对应的MsgBox窗口，向上查找，找到我们需要的字符串。

rent去除窗口调用函数

将显示信息这块看成一个函数，我们向上查找

00402C17   > \55            push ebp

替换为

retn 0x4

要根据传递给函数的参数大小调整栈（RETN XX）

保存之后，查看结果

找到注册码

找出输入提示字符串

接着查找所有参考文本字串，找到输入注册码时的提示信息

发现在提示注册码错误和正确的地方有共通之处：

都有一段比较字符串的strcmp函数的调用，进而猜测I‘mlena151就是注册码

测试结果

crack Tut.ReverseMe1.exe

标签：reverse   gif   strcmp   https   就是   rcm   lan   技术   col   

原文地址：https://www.cnblogs.com/Mayfly-nymph/p/11332410.html