逆向分析--治愈中二

一、使用ida进行代码的分析

要注释的是，如果时32位的程序，需要使用32位的IDA进行分析，如果是64位的程序，需要使用64位的IDA进行分析。

如果直接进行汇编代码分析比较复杂，这里可以通过快捷键F5，把使用IDA提供的功能把汇编代码转换为C语言代码。

主函数

sub_401000函数

对以2结尾的数字进行检查，一旦发现，就跳出程序，并返回1。这里的a1就是我们手动输入的值。也就是说，当发现以2结尾的数，程序退出执行。但是随着该程序返回的1，可以保证在main函数中进行switch的执行。当sub_401000返回为0时，表示我们手动构造的a1在9*9矩阵中没有找到对应项。这时，会进行对矩阵的所有元素进行检查的操作（）。

往左方向检查

向右探索

向上探索

向下探索

探索之后，进行数据的交换，即调用的sub_401060函数

进行9*9列表的校验

一、进行数据的处理

讲需要分析的数据放在3.txt中

可知，总共有81字节的数据。

去除.data …到db之间的任何字符

*:%s/.db//g

效果

去除;往后的注释

:%s/;.*//g

效果

去除所有的空格

:%s/\s//g

效果

二、将处理好的数据粘贴到excel中

每9个数字作为一组，进行粘贴

然后，讲excel的行列进行转置，将列变成行，将行变成列
选择性粘贴时勾选转置。

转置完成

然后进行移动操作

移动方向对应的数字命令

于是，最后移动的步骤可以组成一个序列

34616381845111141141444231237252545274

进行验证