简单逆向分析使用案例（1）--CrackMe_00.exe 找出密码

环境：

      win7 旗舰版 x64

       OD2.01

      PEiD0.95

使用资源

      http://download.csdn.net/detail/obuyiseng/9351217 中的 CrackMe_00.exe

技巧：

     使用OD中的栈回溯。

第一步：简单测试。
随便输入点击确定，发现弹出对话框，那么我们就可以确定，程序里面含有MessageBox函数。

第二步：使用PEiD查看程序信息。

 
通过上面的信息，我们猜测该程序是使用的VS2013编写，并且是Debug版本。
备注：
vs2015 -- 14 vs2013 -- 12vs2012 -- 11vs2010 -- 10   vs2008 --??      vs2005--??vc++6.0--6.0

不过这都只是参考而已。

我们接下来可以查看下子系统，内容如下：

我们在输入表中发现了MessageBoxA()。

第三步：进入OD调试
1、将程序拖入OD中，并打断点  BP MessageBoxA ----注意大小写

2、查看是否有存在1中打的断点

3、按C进行返回，并点击运行。弹出程序窗口，并进行任意输入，并点击确定。程序会在MessageBoxA函数处进行断住。


4、点击堆栈窗口中的栈顶回车，进入到CPU窗口，此时CPU窗口就是MessageBoxA调用后栈中压入的返回值。

5、在 00FC14D4地址往上看，发现了MessageBoxA。再往上看就发现了，弹出框中的文本“Err  code” 和 正确的文本“Good”。

6、我们要想得到正确的信息，就需要查看文本"Good"的上面的信息。

在提示的注释处，发现有strcmp函数，该函数是比较两个文本是否相等。"1111"是我们自己写的，那么"HackAv"应该就是我们要找的密钥。