T0p_Gear

首先ida进去看到就5个函数,看了看字符串发现了UPX字样,所以先用upx -d 解压,解压后看到main函数

image-20200802225210528

看来是三次Check,并且每次都会调用401080这个子函数,进去发现是一个字符串比较,诶,莫非传的是明文,直接在每个call sub_401080 打断点

分别是 404dba、4064f5、404fbf

image-20200802235050255

image-20200802230445165

chk2弄了半天rax没数据发现是txt文件没放,TwT

image-20200802235533061

image-20200802235707180

image-20200802235813118

之后再看chk2,是对文件读取并做aes加密,但是动调直接绕过了,如果有反调试的话,这位师傅分析的AES其实不错http://www.mamicode.com/info-detail-3047406.html