XCTF联赛 WHCTF Reverse Mobile 笔记（二）

Re : CrackMe

win32 pe文件，打开后输入注册码，

原文件

由于有弹窗，直接od载入，跟MessageBox，

右键-查找-所有模块间的调用，找到两个，刚好一个错误一个正确，全部下段

下段

随便输入，注册，运行，发现断下来了

根据刚才下段的两个MessageBox的地址位置，以及函数调用的逻辑关系，向上翻果然发现另一个MessageBox，显然上面的为注册正确的弹窗。

所以，先F8，return到上层调用函数

上层

这时发现cmp 比较输入为33位字符串，其他没什么了

想要弄清程序是怎么验证的，即在4015e0下段，运行，重新注册进入

发现成功断下，f8继续，发现je如果实现的话直接跳到40161f，又去调用失败的消息框，则字符串操作应该在40160c处

f7进入，f8向下走

jl循环内400169处发现cmp

40160c

发现f，下段，循环提出flag

flag{The-Y3ll0w-turb4ns-Upri$ing}