基本操作
1、 OD字符串搜索:插件 - 中文搜索引擎
2、 OD下断点:Ctrl+G查找API,F2下断点;Ctrl + N查找输入表中所有调用API的位置,右键在每个命令下设置断点;插件中的断点工具。
3、procmon的使用:可以监控文件、注册表、网络、进线程信息
4、文件操作API
- CreatFileA(W):创建文件
- ReadFile:读取文件
- WriteFile:写入文件
- CloseHandle:关闭句柄
读取文件:CreateFile -> ReadFile -> CloseHandle
写入文件:CreateFile -> WriteFile -> CloseHandle
5、注册表操作API
- RegCreateKey:创建注册表Key
- RegOpenKey:打开注册表Key
- RegQueryValue(Ex):查询注册表键值
- RegSetValueEx:写入注册表键值
重启验证
在程序启动时验证注册信息
1、 执行流程
- 基本的执行流程:注册信息输入-->程序重启-->执行验证机制-->正常执行
- 扩展的执行流程:注册信息输入-->执行部分验证机制/执行假验证机制-->程序重启-->执行真验证机制-->正常执行
对于有经验的作者来说,可以在注册信息输入和程序重启之间加入假的验证机制,假的验证机制一般比较简单,比如说只是单纯的明码比较,当我们输入这个假的注册码时,程序一般会提示注册成功,此时程序就会知道我们是逆向者,在程序重启时就会假装注册成功,在执行程序功能时就会报错或者无反应,这就是所谓的暗桩。
2、重启验证的类型
注册信息写入文件、注册表中
3、定位关键代码
- 字符串定位
利用OD扫描敏感字符串,一般出现的文件路径或者注册路径都可能是 - 监控工具定位
- API定位
Demo
重启验证1:写入信息到txt
重启验证2:写入信息到配置文件
重启验证3:写入信息到注册表
7829
