我们先通过peid查看本文件的基本信息:
vb编写,无壳;
看到vb,我们就知道了,如果使用ida打开的话,不改变函数的名称的话看上去就十分吃力,所以我们使用VB Decompiler来静态查看:
虽然使用了VB Decompiler但是我们发现可读性还是很低,所以我可以打开od,动态结合静态一起查看:
首先看到入口地址:
打上断点后,我们输入name,serial运行到这里:
然后我们就可以根据vb Decompiler结合od一起查看:
1.我们在vb Decompiler上看到一个十分明显的计算过程:
我们根据地址,找到od上面的部分:
框起来的部分也和vbdecompiler上一样。然后我们继续往下看,接下来是三个分开的浮点运行:
)
看完之后,我们就可以判断,serial的生成机制就是:
{[(name的位数)0x15B38+首位数字的ascii码]+2}X3-2+15
然后是注册机的代码: