bp CreateFileW
首先必须弄清楚Key文件的路径,然后做个假的KEY文件,放在程序需要的路径,
bc CreateFileW
执行到返回,记住返回的句柄
bp ReadFile
bp ReadFileEx
bp CreateFileMappingW
如果断在读文件的API时,注意查看堆栈中的参数,如果句柄是KEY文件的,从参数中找到读取缓冲区的地址,
如果断在了文件映射的API,执行到返回,记下文件映射对象的句柄,然后再下断MapViewOfFile和MapViewOfFileEx,当堆栈中的参数是KEY文件的映射对象时,就可以跟到它映射的地址。
我习惯在W后缀的API上下断点,因为A后缀的API最终还是调用W后缀的。
剩下的事情就是慢慢跟踪,看它怎么对KEY中的信息进行验证了,这就看逆向的基本功了。
