0x03 储存在配置文件中的数据
1.既然数据储存在配置文件中,那么查找一下关于配置文件的有关API操作,于是发现有一个读取配置文件的操作getprivateprofilestringa
2.在这个函数上下断点,运行OD,第一个断下的API不是我们想要的,继续运行
3.第二个也不是,继续运行
4.第三个成功的段下了,注意右下角显示了注册表文件
5.跳出这个函数,可以看到我们这个函数在读取了配置文件的信息后使用strcmp函数与程序的自效验数据进行比较,这个原理和储存在文件当中的更改操作是一样的,这里不多阐述
0x04 储存在注册表中的数据
1.使用API监控工具,发现在最后读取了可疑的注册表
2.在所有可能的注册表读取信息的API上下断点,找到了这个读取注册表的函数
3.一下修改和文件储存方式相同