-
-
[原创] 第五题 独行孤客CrackMe
-
发表于: 2017-6-10 06:42
-
1. 一个小提示,在win7系统中运行的时候,虽然提示了请在虚拟机中运行,但释放的.sys文件还是一闪而过,利用IDA载入.exe程序,搜索sys字符串,定位到sub_4013E0,主要代码翻译如下:
2. 由此推测程序很可能是利用驱动来计算关键数据,exe是将明文传递过去
3. 在字符串列表中发现了"888aeda4ab"
4. 分析引用该变量的位置,定位到另一个关键函数——401760,主要代码翻译如下:
5. 跟进上面的关键函数——401D50,主要用来将字符串传给sys,并拿到sys算出来的结果
6. 用resHack从.exe中剥出 .sys驱动文件,利用ida静态分析,重点查看驱动的读写函数即可
7. 在sub_108B2中发现了md5的迹象,推测驱动层只是计算个md5
8. 再回到前面的步骤4中的代码详细分析:
9. 目前得出结论:
a. 设用户输入的字符串为sss
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
