这道题自己做的时候确实没有思路,找了好长时间连一个加密函数都没看到,查看大佬们的wp才明白,这原来是一个双进程保护程序,加密函数在子进程中,只不过被保护了,所以我没有看到。
1.先分析父进程,也就是主函数main_0:
里面的v16和v15即:
是用来修改int3下的nop,改为正常程序语句头部。
2.子进程为sub_403922函数:
进入:
第21行有一个__debugbreak()反调试函数,按table键查看:
有一个int3指令,int3指令就是在动态调试的时候下断点的语句的首字节改成0xCC,所以,我们动态调试的时候在int3里面就不能写入数据了。int3详细请参考:
探秘INT3指令 | 码农家园
https://www.codenong.com/cs106526086/所以我们需要手动重新写入数据,也就是将int3下面的nop的首字节改成父进程中的对应字节。
IDApython脚本:
from idc_bc695 import *
a = [0x90, 0x83, 0x7D, 0xF8, 0x18, 0x7D, 0x11]
b = 0x408AF8
for i in range(7):
PatchByte(b + i, a[i])运行之后:
F5反编译:
进入sub_40247D函数,然后再进入sub_40460B函数,发现里面又出现一个__debugbreak()反调试函数:
然后按table之后发现正好int3指令有30位:
这就和刚才的操作差不多了,也是需要将v15的数据提出来,然后一一对应替换掉nop的首字节:
查看函数:
下面要找check函数:
sub_40247D函数有很多数据运算的过程,那下面的sub_40384B函数应该就是check判断函数了,通过汇编知识,找到函数的cmp判断指令:
找到要比较的字符串,也就是密文:
接下来就是解密了,sub_40247D函数是加密函数,其中有三个加密过程:
我们有密文,逆向一下得到flag:
a = [0x3d1,0x2f0,0x52,0x475,0x1d2,0x2f0,0x224,0x51c,0x4e6,
0x29f,0x2ee,0x398,0x3f9,0x32b,0x2f2,0x5b5,0x24c,0x45a,0x34c,
0x56d,0xa,0x4e6,0x476,0x2d9]
v10 = [0 for i in range(8)]
a2 = [2,3,7,14,30,57,120,251]
for j in range(8):
v10[j] = (41*a2[j])%0x1eb
#v10 = [82, 123, 287, 83, 248, 373, 10, 471]
flag = ''
str1 = [0 for i in range(24)]
for i in range(len(a)):
for k in range(33,130):
str1[i] = 0
c = k
if i:
k ^= str1[i-1]
else:
k ^= 0x1234
v4 = 1
v9 = [0 for i in range(8)]
for m in range(8):
if (v4&k):
v9[m] = 1
else:
v9[m] = 0
v4 *= 2
for n in range(8):
str1[i] += v10[7-n] * v9[n]
if (str1[i]== a[i]):
flag += chr(c)
break
print(flag)
#swpuctf{y0u3re_s0_coo1}最终得到flag:
flag{y0u3re_s0_coo1}
