FSCapture逆向分析

 

1、行为特征

• 每次启动有模态弹窗，字符串在rsrc节，支持多语言。

• 启动时会发现读写fsc.db，有安装时间，但是实际发现删除文件，试用期不变

• 分析启动时还读写注册表，实际安装信息在注册表中，如果删除fsc.db就读取注册表中安装信息然后重新生成fsc.db

 

2、分析

 

随便输入注册码，发现字符串在栈中。这个栈帧应该就是比较关键的。

 

ida看栈帧对应代码，进行输入判断，然后判断后根据v12判断注册的类型，就是上面企业版教育版个人版，改跳转能走到switch就行。