分析
通过行为分析,发现这个提示对话框应该是modal dialog性质的messagebox.在win32 api中,好像有doModalDialog和MessageBox的函数,由于界面相关操作的api...对照MSDN,主要在上面下划线的函数打断点
?
运行一下si,照样输入注册码”hello world”
?...可以看到, ebp+Str就是ebp+8,就是函数的第一个参数.看一下这个参数是什么,按照sprintf的原型,它应该是格式化字符串
?...由上面可以看到,跳到loc_448c32是因为sub_448f37的返回值为0.也就是说,sub_448f37有可能是校验注册码的函数....在调用sub_448F37的地址00448BD9打断点,看一下sub_448F37的参数值是什么?
?
可以看到,sub_448F37确实是校验注册码的地方.