今天刚刚好做了crackme160中的第21个Cabeca.exe:
总的过程点击此处链接。https://www.52pojie.cn/thread-268087-1-1.html
但是用到的Borland Delphi不是IDR,而是DarkNed4,这个程序也是挺好的,但是没有IDR智能,无法解析封装中的系统调用。
对于上面的链接中作者的猜想,做了以下的验证:
wlpp 转化位置的初始值都为零 switch: 'w': ds:[ox42f714]+=0x251e; ds:[ox42f718]+=0x5; 'l': ds:[ox42f714]+=0x277d; ds:[ox42f718]+=0x22b; 'p': ds:[ox42f714]+=0x9a670; ds:[ox42f718]+=0x8c7f3; 'p': ds:[ox42f714]+=0x9a670; ds:[ox42f718]+=0x8c7f3; ds[ox42f714]=0013997b ds[ox42f718]=00119216
结果无差,所以只能爆破了。