题目：见附件

这题目被提示的运行两次坑了。

OD载入，设置命令行参数pass.db。

F8到VirtualAlloc函数，发现size参数为0，导致函数调用失败。

根据pass.db长度，设置size=0x10，F8继续。

发现CreateFileA的FileName参数依然是pass.db，修改成pas1.db。

F9正常运行，得到pas1.db文件。

实际上，这里pas1.db的内容已经是答案了，受到提示影响“patch掉bug后运行两次”，所以得到pas2.db后，怎么提交都不对，后来发现pas2.db和pass.db的内容一样。才恍然醒悟，就是一个异或算法。

实际上这个所谓的加密算法就是和字符串“shit”进行异或运算。

本文出自 “万物皆刍狗” 博客，请务必保留此出处http://cugou.blog.51cto.com/9637775/1582761

ctf.360.cn第二届，逆向部分writeup——第二题