直接运行 发现 直接退出了 于是 通过同态调试找到 程序的关键函数。
在 start 函数 开始下断点。
运行发现 弹窗。 有反调试,更具字符串 找到对应的 地方。
直接nop掉。修改 jz —> jmp
修改结果 发现这是一个 TlsCallback_0 回调函数。 先把这 几个 循环加密解出来时 函数名和 一个dll文件名。发现 知识解密函数名,美誉特别大作用,所以我们在 start 函数下断点看。
发现没用特别打作用 继续往下运行。进入 第二个函数。
发现运行 这个函数 调试关闭了 猜测这个就是main 函数。步入。
发现有个 WHO ARE YOU 然后退出, 说明 要进入 func1 函数。
