题目运行截图
用exeinfo看下有没有混淆:
拉进dnSpy反编译:
进btnCheck_Click单击过程看下:
里面调用了Form1.MetMetMet()函数:
在这个函数里面动态生成了一个MetM函数,用form.bb数组里面的内容来填充函数内容,实际上这个MetM才是验证函数
那我们要把这个函数修复,动态调试把bb数组的内容复制出来,将MetMett函数的内容替换为bb数组的内容:
MetMett函数的字节数据怎么找呢,动态调试的时候form_load会返回form.bb,这里是MetMett的原始数据,在Winhex里16进制搜索就可以定位,然后替换为程序修改后的bb数组的数据:
这里是还原后的数据,写python解一下:
import base64
bt = [0]*12
bt[0]=16^74
bt[3]=51^70
bt[1]=17^87
bt[2]=33^ 77
bt[11]=17^ 44
bt[8]=144^241
bt[4]=68^29
bt[5]=102^49
bt[9]=181^226
bt[7]=160^238
bt[10]=238^163
bt[6]=51^117
bt = [chr(x) for x in bt]
flag=base64.b64decode("".join(bt))
print flag