该博客探讨了如何绕过KeFile保护,通过OD调试器分析程序行为,揭示了文件检测、循环相加和异或等加密算法,并通过手动数据流分析得出解密字符串,揭示了保护机制的工作原理。
这个题目比较坑,不过最终还是坎坷明白了大体意思。
目的:绕过获得KeFile保护
我们先把文件提供的bat文件和应用程序文件放在同一个目录中,进行分析算法
拖入od,在CreatFileA下断点,点击Check之后停在断点处。
寄存器KwazyWeb.bat是载入文件的名称(或者用Procmon软件进行进程检测)
继续跟后我们看到je没有跳转到结束的地方。(应该是程序会有名称的检测。含有指定文件名的才可以继续进行)
我们继续往下跟
程序有三个读取函数,分别是什么还不能确定
我们先跟到调用00401000的位置,进入发现
分析一下,先是清零操作,然后将第一次读取的数字当做循环次数,然后将第二次读取的字符进行循环相加操作。放在0x403
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
