前言

系列之002，记录学习。

---

题目分析

一道一星的题目

惯例查壳。

32-bit的文件，用的是 VB 写的。

关于Visual Basic：

Visual Basic（VB）是由微软公司开发的包含环境的事件驱动编程语言。它源自于 BASIC 编程语言。VB 拥有图形用户界面（GUI）和快速应用程式开发（RAD）系统，可以轻易的使用 DAO、RDO、ADO 连接数据库，或者轻松的创建 ActiveX 控件。程序员可以轻松地使用 VB 提供的组件快速建立一个应用程序。

虽然VB现在已经不再更新了，但是并不妨碍我们的学习。

也是惯例，运行程序观察一下

！这里会出现一个问题（我不同虚拟机都遇到过）
就是找不到msvbvm50.dll的问题，这里可以上https://cn.dll-files.com/msvbvm50.dll.html下载。
然后放到文件夹下：

把文件放到你的系统路径。它的默认路径是在：
C:\Windows\System (Windows 95/98/Me),
C:\WINNT\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP, Vista, 7, 8, 8.1, 10).
在 64位 Windows 上，32位 DLL 文件的默认路径是
C:\Windows\SysWOW64\， 64 位 DLL 文件在
C:\Windows\System32\ 。
确保覆盖已有的全部文件（但保留一个原文件备份）。
重启电脑。

然后就解决问题了。

重新运行程序。

name + serial 的验证方式，看起来和上一题差不多；

---

程序分析

载入xdbg后，搜索字符串，找到 You Get Wrong这句话，点击过去。

这里除了搜索字符串还可以根据调用堆栈的情况来找到此处，在运行程序后输入name和serial，弹出错误信息后不点击确定，而是返回xdbg查看堆栈情况 Alt+K，

找到一个，虽然都是msvbvm50的函数，大部分都看不懂，但是这一个的返回地址是在00402622，比较符合我们的预期，一般00400000是整个程序的开始。所以这里点击这个rtcMsgBox右键跟随目标。然后往上翻一点就可以看到错误信息了。

接着往上一直翻， 继续在 push ebp处打下断点， 这次是在00402310处。

在向上的过程中，你会看到一个

正确信息和 一个je 跳转 ，je指令的跳转是根据ZF标志位来进行的，ZF标志位为 1 的时候实现跳转。

因此这里第一种爆破方式就是 直接 nop 掉 je指令；

第二种就是 在运行到je指令的时候 将 ZF标志位手动改成 0 ；

还有第三种就是 修改 test指令， 因为test本质上是 and 指令 ，如果 and 结果为 0 就会将ZF标志位置为1.

Keygen

重新运行一下程序，因为需要把我们先前做的更改去掉。

这里依旧在push ebp处打下断点，然后让程序自动断在此处。开始一步一步向下追码，先F8单步步过就好。

一直到

xdbg的功能蛮强大的，很多注释都会给出来，（当然那几串中文是自己注释的）

一般在临近 有 000111出现的地方，（这次的输入是 000111 + 123456）就该注意了

这里显示call 调用了一个函数，可以看到Len B str 就像是计算字符串长度，也可以上网查阅相关信息；

在调用后

eax 变成了 6 也可以验证我们的猜想，你也可以尝试不同的输入，去验证。

接着向下， 用 imul 乘以一个固定的值 17CFB 接着 再加上 '0’的 hex值也就是 0x30

这里得出的结果是 8EE12 转换成十进制 585234

再接着一直往下跑，

会先看到一个 AKA- 再接着又是一个 VB函数 写着 Str Move 这里的意思很明白了，拼接字符串的意思

那么我们的serial 也就出来了 AKA-585234

验证成功 ，开始写 Keygen。

def keygen(name):
    key = ord(name[:1]) + len(name) * 0x17CFB
    print(f"Your serial : AKA-{key}")


if __name__ == "__main__":
    name = input("please enter your name: ")
    keygen(name)