首先就是查个壳,发现没壳,是32bit,那就丢进ida32中进行反编译
然后我们直接进入main函数,f5转换为c语言代码,一边分析一边在旁边写上注释,这边看似很复杂,但我们要知道,红色的这种库函数,一般不会作为考点,所以我们可以暂时跳过一下,memcpy函数的作用还是要知道的,就是简单的复制一些数据到另一个地方,我们先点进&unk_409B10提取数据,shift+e提取数据
提取完之后,再进入主函数,最关键的是主函数末尾的函数sub_401000,点进去看看
此处的a2数组为已知,就是上面提取的哪些数据,v2的值也是已知数,点进去就有了,然后往下分析,这串代码其实很多烟雾弹,很多都没用,我们只需要抓住关键的点,其他甚至都可以不用看,只需要在意真正对数据处理的部分,这边仔细看,其实就一个地方对数据进行了处理,就是 *(a2+4*v4++)^=v2 这一句话而已,那我们就着重看这一句话,首先看到*()要敏感,这是运用指针了,括号内的地址是从a2开始,接下来注意4*v4++,v4的值是0,1,2这样递增的,这边却直接乘以4了,使得4*v4++整体跳跃式增加,就会显得有些奇怪想不通,这时候我们就需要大胆猜测了,后面不是一个v2吗?仔细数数v2两两分一组,刚好可以分为BB,AA,CC,DD四组,和前面乘4相对应,能想到这样的话,那么就简单了,把v2拆成4组,再和前面a2中的数轮转并且依次进行异或,最后得出的就是flag了,直接上代码喽
#include<iostream>
#include<stdio.h>
using namespace std;
int main()
{
int a2[]={
187, 204, 160, 188, 220, 209, 190, 184, 205, 207,
190, 174, 210, 196, 171, 130, 210, 217, 147, 179,
212, 222, 147, 169, 211, 203, 184, 130, 211, 203,
190, 185, 154, 215, 204, 221
};
int v2[4]={0XBB,0XAA,0XCC,0XDD};
int k=0;
for(int i=0;i<36;i++)
{
if(k==4){
k=0;
}
a2[i]^=v2[k];
k++;
printf("%c",a2[i]);
}
return 0;
}*(a2+4*v4++)括号内表示的是一个地址,从a2的地址开始,4*v4++表示是从该地址所往后的位数,反编译中的代码,a2是从0,4,8这样跳跃的取着a2中的数,我们写代码,是挨个取a2中的数,并且与拆成4组的v2进行轮转异或,这边有一个小点,拆解后的v2应该逆序,因为栈是先进后出的,要记住,然后运行一下,就得到flag喽~~~
262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
