007-reg 的 write up

unique-Elven

2023 年 06 月 22 日

128 次浏览

暂无评论

2044字数

NEW Carck ME NOTE

# 007-reg 的 write up

`抄一百篇不如自己实践操作写一篇，尊重知识产权，写笔记辛苦，禁止转载！！！`

## 1. 程序的执行

![image-20220929175433977](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20220929175433977.png)

解释：随便输入的用户名和密码，点击OK后，弹出Reg提示框，而且还生成了一个reg.dll文件。

以文本形式打开生成出来的文件如下图：![image-20220929175730011](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20220929175730011.png)

但是再次输入一样的结果还是一样。

## 2. 查壳

![image-20220929175853399](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20220929175853399.png)

无壳

## 3. 静态分析

1.首先将程序拖入32位IDA后先点击View(查看)——>Open subviews——>Strings，结果如下图：

![image-20221005162634552](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005162634552.png)

温馨提示：该程序的此过程一定要快，要在程序还没完全加载的时候操纵才能显示出关键的字符串reg.dll等。

2.查看输入表，点击View——>Open subviews——>Imports，结果如下：

里面用到的API太多了，想看可以自己再分析看，大概还是和文件操作有关。所以我们还是再进对关键字符串reg.dll进行交叉引用跟踪，手速一定要快。

跟踪第一个reg.dll后，可以看到用到的参数如下图：

![image-20221005171156172](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005171156172.png)

继续跟踪，分析汇编其功能如下图：

![image-20221005172018726](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005172018726.png)

然后再来一次回去跟踪第二个reg.dll后，可以看到需要用到的参数如下图：

![image-20221005171623527](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005171623527.png)

继续跟踪就会发现新的一段汇编代码分析功能如下图：

![image-20221005173535507](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005173535507.png)

所以我们就是可以猜测，这里是关键跳转，他上面调用的关键函数45D0F4就是算法函数，跟踪进去如下图：

![image-20221005183253036](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005183253036.png)

上面只是算法的部分，这里具体生成用户名对应SN的代码过于复杂，暂时还写不出来注册机，但这里程序在分析过程中会出现SN真码明文，这里也就到此结束了，使用该SN打开程序用OD动态调试出现如下硬编码：

![image-20221005183455607](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005183455607.png)

所以用户名为123的时候，注册码就为：B0345628C1533E20

结果如下：

![image-20221005183634778](https://www.oisec.cn/usr/uploads/2023/typora-user-images/image-20221005183634778.png)

最后修改：2024 年 01 月 12 日

如果觉得我的文章对你有用，请随意赞赏

007-reg 的 write up

unique-Elven • 2023 年 06 月 22 日

007-reg 的 write up

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

BUUCTF-CrackRTF(Reverse逆向)

BUUCTF-[2019红帽杯]easyRE(Reverse逆向)

SSRF

服装生产销售管理系统

恶意代码分析入门--静态分析（chapter1_Lab01-01）

恶意代码分析入门--PE结构能告诉我们很多信息（chapter1_Lab01-04）

算法基础

009-Boonz-KeygenMe#1 的 write up

软件保护技术-程序脱壳篇-逆向工程学习记录

渗透测试中常用windows命令

007-reg 的 write up

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

007-reg 的 write up

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款