渗透TEA加密算法
看到有我画圈的地方有一个值刚好是0xc6ef3720。所以基本上可以判定这个CALL是TEA的解密函数。密钥为1A2B3C4D5E6FABCD1A2BAC4D5E6FABCD,密文为1234567890ABCDEF。用网上流传的工具测试怎么都对不上。无奈我自己用上面那个代码改写了一个TEA加密解密的程序。下面我用它来验证下,如图4:
图4
由图4可以看出我们的分析是正确的。好接着F8继续跟进。
看代码:
0040131E PUSH 0
00401320 MOV DWORD PTR SS:[EBP+234],10
0040132A CALL <CrackMe_._mirvar>
0040132F PUSH 0