2301_80959088的博客

加载了被hook函数writefile函数地址和计算了偏移量，最后调用和返回的函数是安装hook。同时在这里也确定了目标函数（flag加密函数），这里通过目标函数和被hook函数的偏移量和jmp实现。找到真正的加密，逻辑很简单，稍微注意一下最后的 *(i + a1) = i ^ key;是else之外的，都会执行。这里记住之前的需要返回1.成功改变进程，hook了目标函数和最后恢复hook原始进程，重新调用writefile函数。在主函数判断出主要函数hook和后面需要返回1。为什么会缺一位0.0？

【代码】山河week1 Re。

你说这个会不会是flag。那是不是有加密啥的，都不是。flag{}打包一下就好了==其实这里我自己写的exp输出总是会多一部分，感觉是数组的结尾'/0'的问题，但是加了也没用。很明显sub_4006FD(s)是关键解密函数。解密的时候要注意^和+的优先级。通过shift f12找到主函数。一个简单的指针数组加密然后比较。不写了，有点过于简单。

rc4的特征很明显，拿密文res和密钥key解密，得到： ¡óÓÚÌBS®ª，显然错误。可能是魔改的rc4，果然生成密钥流这里不一样。附件是只有一个pyc文件，版本未知。直接用pycdc反编译。

其实我先是手搓的python但是em类型处理不行，我不会，就用c了。本来是想练习python的。打印的时候注意下小端序，高位高字节。魔改tea，虽然外层循坏只有3次，但是因为字节打包的原因，实际上6个数据都进行了处理。逻辑大概看注释就能懂，tea和z3加密我也以改在函数上。将这个解出可以得到魔改tea的data。

看形式知道是tea，仔细分析一下密钥的处理有变化，是xtea，与标准的xtea形式也不同，多了一个异或。注意三个地方，解密时循环逆过来，33和(i+j),仔细看加密代码即可理解。最近的题目都不用动态，静态分析就可以了，如图注释。注意这里key有改变，和主函数不同了。

找到主函数 很多函数都是未知的，初步自己判断重命名一下。到这里加密和数据都很清晰了，写解密。看了讨论区题目密文应该是有错误，慢慢查看，逻辑大概就出来了。

这才是我印象中的签到题啊。

从59h开始才是密文，那么59h-47h=18D,所以密文是XTSDVkZecdOqOu#ciOqC}m$，解密即可。看到asm，想到的就是字节码和汇编了。但是从这两个地方看出密文显然没有这么长，不是全部。循环异或加密，然后比较直到相等$加密才结束。加密完之后和密文比较，直到最后一个等于$。

其实这里呃打印的时候因为是32位整数，所以要一个字节一个字节打印，还是容易出错的--这里注意提取Key时候，有数据类型的转换4个字节，和小端序。加密函数里面是xtea加密，特征还是很明显的。主函数发现密文和加密。

-其实逻辑很简单，一个简单的for循环和xor加密。下面的数据猜测就算密文。试试写python解密。txt文件，里面是汇编，不要慌。

比对文件头magic number差异，修改之后保存，继续反编译。这里我用了pycdc，但是失败了，打开什么都没有，用uncompyle6试试，成功了。发现是3.6版本的，找到这两个文件struct和目标文件拖入010。附件是python exe文件，这个都很熟练了。很明显的是z3，这里就不解了，暂时还比较熟练。

双重循环，主要是练习脚本--

附件是pyc文件，反编译成py文件，我用的是pycdc.逻辑很简单 逐步解密。

Ints('')创建多个整形变量，字符串列表， 每一个字符串是一个变量名。# 按照 v2 到 v23 的顺序输出字符串。这里我因为求简单分了三个模块求--其实不是。按顺序转成ascii码 字符串输出。打开ida，检查check函数。用python z3库求解。

打开文件管理器找到我们下载的.zip文件，框框内打上勾就选中了，然后依次去找/storage/emulated/0/Android/data/de.robv.android.xposed.installer/cache/downloads/路径，最后选择粘贴。打开雷电模拟器共享文件，将这个.zip从pc端拖到共享文件中。打开终端模拟器，复制命令创建downloads文件夹。雷电多开器选择添加一个模拟器，选择版本（高了不行）下载安装apk，勾选不要显示这个，点击确定。接着出现这个就只有一步了。