crack Tut.ReverseMe1.exe

测试文件：https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE7ZLB3oBGUcJmKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w

 

 

1.删除多余窗口

1.1 找出多余窗口

将这个窗口删除，并找出Recode

 

和上一个分析的结构类似，都将结构体传入参数之后，间接调用。

 

两种方法找到需要的字符串

1. 在查找所有参考文本字串之后，找到需要删除窗口所提示的字符换，
2. 找到VB中的MSVBVM50.rtcMsgBox，也就找到了需要删除的窗口。

下面展示第二种方法:

 

找到对应的MsgBox窗口，向上查找，找到我们需要的字符串。

 

1.2 rent去除窗口调用函数

将显示信息这块看成一个函数，我们向上查找

00402C17   > \55            push ebp

替换为

retn 0x4

　　

要根据传递给函数的参数大小调整栈（RETN XX）

 

1.3 保存之后，查看结果

 

2.找到注册码

2.1 找出输入提示字符串

接着查找所有参考文本字串，找到输入注册码时的提示信息

 

发现在提示注册码错误和正确的地方有共通之处：

 

都有一段比较字符串的strcmp函数的调用，进而猜测I'mlena151就是注册码

 

2.2 测试结果