1、實驗環境
操作系統： mac os x 10.12
調試工具：hopper disassemble v4
程序：010 editor for mac 
官網地址：http://www.sweetscape.com/010editor/

2、開始分析
2.1、尋找線索
看一下正常執行時的整個流程，并從中獲得線索。
在關于里面找到注冊然后彈出注冊的信息框，輸入用戶名和密碼，點擊 check license，然后提示 “Invalid name or password…….”，如圖-1。
現在找到了第一條線索，記為線索1。線索1:stringInvalidNameOrPassword字符串“Invalid name or password…”。

圖-1


2.2、分析線索1
打開 hopper disassembler v4，將010editor 拖拽到hopperdisassembler上，如下圖：
 
通過hopper中的字符串查找定位到stringInvalidNameOrPassword出現的位置，如圖-2。
 
圖-2

再查看stringInvalidNameOrPassword在哪些地方被引用了。
選中stringInvalidNameOrPassword所在地址，按一下“X”鍵，顯示出該地址的所有引用，如圖-3。
 
圖-3 

雙擊圖-3中的地址，即可顯示出該調用地址處的反匯編代碼，如圖-4。
接下來就要分析 sub_1002e5f10 這個函數。到這里，我門又有了新的疑點：
1、        stringInalidNameOrPassword這條路是從哪里走過來的？
2、        該函數中有沒有正確的路？如果有，哪么正確的路在哪里？
3、        正確的路與stringInalidNameOrPassword的路是在哪里走岔的？
上面的三個疑點都在 sub_1002e5f10 函數中找。
 
圖-4

光標放在1002e69e4 處，然后點擊工具欄中的CFG module 顯示函數流程圖如圖-5。
       
圖-5

總的來說loc_1002e6900 是一條錯誤的路(trial+invalidNameOrPassword)。
再找loc_1002e6900 的來源，如圖-6。
 
圖-6

再向上找，找 loc_1002e65b8 的來源，如圖-7�？梢钥吹绞窃趌oc_1002e6363處和正常的授權路分岔了。
關鍵是 ebx的值，如果ebx == 0xdb 該函數就走授權的路。
現在用偽代碼模式查看這塊代碼，如圖-8。這時，我們定位到了三個重要函數 sub_1000c9230 sub_1000c90e0 sub_1002e9e40。
其中sub_1002e9e40函數是用來聯網校驗授權信息的，這里就不進入該函數分析來。
ebx 的值是 sub_1000c9230 的返回值，所以如果能控制sub_1000c90e0 的返回值就能控制該函數走授權的路了。
 
圖-7
 
圖-8

進入sub_1000c90e0 函數進行分析,如圖-9。sub_1000c90e0 的返回值有 0x113, 0xdb, 0x20c, 0xed, 0x71, 0x177, 0xf9,0x2f共8種。
其中0xdb是走的授權路線。在該函數中調用了sub_1000c9230 函數，如果能控制 sub_1000c9230 的返回值為0x2d 就能讓sub_1000c90e0返回 0xdb。
其實為了保險起見可以將 sub_1000c90e0 函數中的第三行 rax = 0x113改成rax = 0xdb。這樣就能保證 sub_1000c90e0 返回的是 0xdb。
 
圖-9

函數分析sub_1000c9230。
先來查看該函數的所以引用。
00000001000c9106         call       sub_1000c9230 ;在sub_1000c90e0 函數中。 
00000001002e62f2         call       sub_1000c9230 ;在sub_1002e5f10 函數中。 
沒有授權時，在sub_1002e5f10返回的是0xe7,在 sub_1000c90e0中返回的不是 0x2d。
函數sub_1000c9230的返回值有rax= 0x93, 0xe7, 0x2d,0x4e四種，每個返回值都有自己的特殊含義。
其中0x2d就是走授權道路的返回值；0x93 是tial 或者 Invalid name or password。
[size=14.6667px]
修改 sub_1000c9230函數使其只返回0x2d，我的修改方式是將[size=14.666666984558105px]