运行分析
- 点击注册无反应
PE分析
- Delphi程序,32位,无壳
静态分析&动态调试
- 使用DeDeDark进行分析,发现Register按钮事件地址入口为466580
- ida打开程序,按G键,定位到466580地址
- 进行动态调试,结果如上图注释
- 还需要分析sub_466230函数
- sub_466230函数作用:提取Name每个字符串进行计算,将计算结果拼接为res
- 其中str1为固定值,如上图
- str1_4 = 0x58BFCE6D(大小端存储需反转)
- str1_6 = 0x58BF(大小端存储需反转)
算法分析
Name = 'concealbear'
# sub_466230
int1 = 0x4de1
str1_4 = 0x58BFCE6D
str1_6 = 0x58BF
res = ''
for i in range(len(Name)):
v12_0 = (int1 >> 8) ^ ord(Name[i])
int1 = (str1_6 + str1_4 * (int1 + v12_0)) & 0xffff
res += hex(v12_0)[2:].zfill(2).upper()
Serial = res
print(Name + '的Serial为:\n' + Serial)
- 验证成功
