[逆向工程]160个CrackMe入门实战之Andrnalin.1解析八一.Andrnalin.1功能爆破后成功验证二.查壳vb语言 无壳32位三.逆向分析3.1 爆破直接入dbg进行分析运行到用户代码U),搜索-所有用户模块-字符串发现有successful字样查分析程序00401D9D | 90 | nop | 这句会跳过成功入栈,所以nop掉尝试打补丁保存程序后发现程序直接爆破3.2 追码追码。分析算法附加原程序根据经验或者说是规律吧有以下类似代码的一般是段首地址。具体是哪一个事件的段首位置根据实际情况来看。那么从successful字样往上查看分析代码时00401CD0可能是ok事件段首此处下断点00401CD0 | 55 | push ebp |00401CD1 | 8BEC | mov ebp,esp |key输入值为1111,跟踪程序发现固定字符串SynTaX 2oo1,猜测这个可能是真码尝试输入查看结果00401D6A | FF15 E4304000 | call dword ptr ds:[__vbaHresultCheckOb |00401D70 | 8B4D D8 | mov ecx,dword ptr ss:[ebp-28] | [ebp-28]:L111100401D73 | 51 | push ecx | ecx:L111100401D74 | 68 541A4000 | push andrénalin.1.401A54 | 401A54:LSynTaX 2oo1因此正确的Key值为SynTaX 2oo1