题目:见附件
这题目被提示的运行两次坑了。
OD载入,设置命令行参数pass.db。
F8到VirtualAlloc函数,发现size参数为0,导致函数调用失败。
根据pass.db长度,设置size=0x10,F8继续。
发现CreateFileA的FileName参数依然是pass.db,修改成pas1.db。
F9正常运行,得到pas1.db文件。
实际上,这里pas1.db的内容已经是答案了,受到提示影响“patch掉bug后运行两次”,所以得到pas2.db后,怎么提交都不对,后来发现pas2.db和pass.db的内容一样。才恍然醒悟,就是一个异或算法。
实际上这个所谓的加密算法就是和字符串“shit”进行异或运算。
附件:http://down.51cto.com/data/2365125
