170526 逆向-CrackMe(3)

1625-5 王子昂 总结《2017年5月26日》 【连续第237天总结】

A. 逆向-CrackMe(3)

B. 打开程序，先是一个持续7s的LOGO，作为NAG

然后是NAME/SERIAL

先处理序列号。跟昨天的2是同一个作者，直接搜索字符串或者查找msgbox的API都可以定位到判断跳转相关的位置

将跳转NOP掉即可爆破成功

与昨天相同的办法，向上一直翻到上一个retn，然后单步运行跟踪下来

这一个程序比昨天的直接相加相乘要复杂一些，进行了许多浮点数的转换

在查找vbaStrR8函数的时候发现了有常用函数的连接，粘贴记录下来：

http://www.cnblogs.com/bbdxf/p/3780187.html

。 自己跟的时候没看出来浮点数的变化，还有一些fxxx的指令没有见过，偷懒没看，后来查询的时候发现跟ST（）位有关，相当于进行浮点数的运算

另外NAG，通过暂停和查找全局API的SETTIMER可以跟到系统领空的settimer函数，但是没办法找到程序领空的调用

不知道为什么单步运行过去的时候就不会触发NAG，直接F9运行却还是会触发

再另外，只能在输入框中输入数字，否则将触发异常导致退出

跟了一下这个异常，发现killtimer的调用者在sogoupy的领空里……不知道是什么意思

C. 明日计划

CrackMe(4) 争取独立写出注册机