吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2119|回复: 6
收起左侧

[原创] 某CAD论坛里的一个CM分析

[复制链接]
hwt1995511 发表于 2022-5-3 14:08
第一次做这种分析,可能难免有些不对的地方,也请大家多多指教。另外先说明一下,我已经先在那个论坛里把答案贴了出来,下图是我在那个论坛的会员截图(为避免广告,论坛logo已经打码)
Snipaste_2022-05-03_13-01-25.png

根据作者的说法,在CAD里加载了syz-int.fas后,通过(syz-write-int "abcd.txt" 1415927)就可以把1415927写到c:\programdata\abcd.txt中,并且abcd.txt的文件大小为零。但当你用(princ (syz-read-int  "abcd.txt" ))去读取abcd.txt时,你会发现CAD可以读出1415927。作者给出的要求是找出这个数字藏在了什么地方。

分析过程:(我这边用7355608作为写入的整数)
1、在AutoCAD里完成对syz-int.fas的加载后,打开火绒剑,监控了一下系统的操作,发现确实只有acad.exe在对文件进行写操作。
Snipaste_2022-05-03_13-45-05.png
此时在C:\ProgramData下确实只有一个0字节的52pojie.txt文件。
Snipaste_2022-05-03_13-46-05.png
接着在AutoCAD里读取这个文件,确认可以正常读出数值。
Snipaste_2022-05-03_13-50-58.png

既然这个数不在文本里,但又和这个文件有关联,那99%会藏在“不可视境界线”里。
于是祭出x-ways forensics,打开C盘,直奔这个文件
Snipaste_2022-05-03_13-56-59.png
不出所料,在这个文件里看到了一组“D83C7000”的十六进制数。
7355608的十六进制是703CD8,恰好就是D83C70倒序输出。所以,可以确定那位作者是把整数藏在了文件的开头部分。
为了方便对比,我也建了一个empty.txt的空白文件,大家应该可以发现这两个文件的差异了。
Snipaste_2022-05-03_14-02-36.png Snipaste_2022-05-03_14-03-04.png

最后把作者的源文件放在附件里,供大家尝试。
把注册码藏起来.zip (1 KB, 下载次数: 1)

啥?不知道怎么加载?
把syz-int.fas复制到c:/APPS/下,然后在CAD里通过APPLOAD命令加载那个lsp文件即可。当然也可以用记事本打开那个lsp文件,把fas文件的路径改成自己当前的。

免费评分

参与人数 3吾爱币 +9 热心值 +2 收起 理由
Dtdfd + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
淡雅香 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

igood 发表于 2022-5-5 21:07
mj的编程xz,api monitor 也可以监控到,学习一下思路

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
淡雅香 + 1 + 1 我很赞同!

查看全部评分

songqingxu 发表于 2022-5-6 08:46
dianziguan 发表于 2022-5-6 12:26
试试把这个小fas文件反编译成lsp?没几个字节,应该难度不大。
taxuewuhen 发表于 2022-5-12 21:43
感谢分享!
kqc666 发表于 2022-5-13 10:31
非常感谢分享,正是我需要的
cookieandww 发表于 2022-5-15 12:17
非常感谢楼主分享!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 02:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表