CM V3.0 另类追码

没调用任何模块 相较于V2.0加强部分验证流程以及检测！
无退出无花无任何暗桩恶意代码 用了EXUI所以加了UPX3.95压缩程序体积不影响实际调试
已测试运行环境WIN7 32 64位

追出key且进入功能窗口三个标签显示红色字体就算成功！其中第一个标签为两个“假”字，第二第三个标签则有很明显的提示。


CM分析链接：https://s.threatbook.cn/report/file/37d172c2f92e3e5d791db5763bb99c65bf97ecce9f53668114998008a8f8e164/?env=win7_sp1_enx86_office2013

CM V3.0.zip (815.88 KB, 下载次数: 130)

2020-7-8 04:39 上传

点击文件名下载附件

这玩意有多处调用检测 OD下输入码数组错误 正常打开输入没问题 好恶心啊 新手玩不来
按钮事件单步跟一个文本字符串都不见
我猜应该是检测到什么或第一次输入的码不对就把数据全部给清空了
爆破还差不多 简单多了 但是进入第二窗口没有出现楼主说的三个红色标签 应该是没成功
下面附上我的成果 请各位老师接力分析 记得@我围观下

00401BFC    55              push ebp '按钮事件

0040111E    55              push ebp ' 检测1

004019DD    55              push ebp ' 检测2

004077B3    55              push ebp ’窗口


00401BFC   /E9 B25B0000     jmp CM_V3_0.004077B3                              ; 按钮事件跳转窗口
00401C01   |C3              retn
00401C02   |90              nop
00401C03   |90              nop
00401C04   |90              nop


0040111E    B8 00000000     mov eax,0x0                              ; 检测1
00401123    C3              retn
00401124    90              nop
00401125    90              nop
00401126    90              nop

004019DD    B8 00000000     mov eax,0x0                              ; 检测2
004019E2    C3              retn
004019E3    90              nop
004019E4    90              nop
004019E5    90              nop

004013D1    B8 DCDB6B00     mov eax,CM_V3_0.006BDBDC

006BDBDC+8 = 006BDBE4  ‘90 94 42 25 94 B4 52 2D 98 D4 6E 33 97 AC 5E 2B 93 8C 4E 23

00401416    C703 679B3643   mov dword ptr ds:[ebx],0x43369B67  ‘1127652199

找出这两组加密的数据
一组字节集加密 一组整数型加密 相信应该是最终的码  下面不会搞了

1643510535 发表于 2020-7-13 10:55
004013D1    B8 DCDB6B00     mov eax,CM_V3_0.006BDBDC

006BDBDC+8 = 006BDBE4  ‘90 94 42 25 94 B4 5 ...

厉害呀，两个猜想都对了，但还有一步，要走验证流程！

求转移401000例子