0x03 儲存在配置文件中的數據
1.既然數據儲存在配置文件中,那麼查找一下關於配置文件的有關API操作,於是發現有一個讀取配置文件的操作getprivateprofilestringa
2.在這個函數上下斷點,運行OD,第一個斷下的API不是我們想要的,繼續運行
3.第二個也不是,繼續運行
4.第三個成功的段下了,注意右下角顯示了註冊表文件
5.跳出這個函數,可以看到我們這個函數在讀取了配置文件的信息後使用strcmp函數與程序的自效驗數據進行比較,這個原理和儲存在文件當中的更改操作是一樣的,這裏不多闡述
0x04 儲存在註冊表中的數據
1.使用API監控工具,發現在最後讀取了可疑的註冊表
2.在所有可能的註冊表讀取信息的API上下斷點,找到了這個讀取註冊表的函數
3.一下修改和文件儲存方式相同