逆向工程实验——lab3（.NET平台逆向）

1、阅读

阅读https://blog.csdn.net/cnhk1225/article/details/53568996 然后回答问题： What does this code do?

通过比较输入字符的ASCII码，来确定它是不是字母，如果输入的是字母则程序返回1，否则返回0。

这是.NET框架下编译后的MSIL（微软中间语言）：

Optimizing csc .NET compiler from MSVS 2015 (/o switch), ildasm output:


  .method public hidebysig static bool  f(char a) cil managed
  {
    // Code size       26 (0x1a)
    .maxstack  8   // 计算出计算堆栈的能存几个值
    IL_0000:  ldarg.0    //将索引为 0 的参数加载到计算堆栈上
    IL_0001:  ldc.i4.s   97  //将提供的值作为int32推送到计算堆栈上（短格式）
    IL_0003:  blt.s      IL_000c    //如果第一个值小于第二个值97，则将控制转移到目标指令（短格式）
    IL_0005:  ldarg.0   //将索引为 0 的参数加载到计算堆栈上
    IL_0006:  ldc.i4.s   122   //将提供的 int8 值作为 int32 推送到计算堆栈上（短格式）
    IL_0008:  bgt.s      IL_000c   //如果第一个值大于第二个值122，则将控制转移到目标指令（短格式）
    IL_000a:  ldc.i4.1   //将整数值 1 作为 int32 推送到计算堆栈上
    IL_000b:  ret  //返回
//上面这一段代码的意思是，当输入的值小于97或大于122时，跳转到IL_000c，否则返回1。
    IL_000c:  ldarg.0   //将索引为 0 的参数加载到计算堆栈上
    IL_000d:  ldc.i4.s   65   //将提供的 int8 值作为 int32 推送到计算堆栈上（短格式）
    IL_000f:  blt.s      IL_0018   //如果第一个值小于第二个值65，则将控制转移到目标指令（短格式）
    IL_0011:  ldarg.0   //将索引为 0 的参数加载到计算堆栈上
    IL_0012:  ldc.i4.s   90   //将提供的 int8 值作为 int32 推送到计算堆栈上（短格式）
    IL_0014:  bgt.s      IL_0018   //如果第一个值大于第二个值90，则将控制转移到目标指令（短格式）
    IL_0016:  ldc.i4.1   //将整数值 1 作为 int32 推送到计算堆栈上
    IL_0017:  ret  //返回
    IL_0018:  ldc.i4.0  //将整数值 0 作为 int32 推送到计算堆栈上
    IL_0019:  ret  //返回
  } // end of method some_class::f
//上面这一段代码的意思是，当输入的值小于65或大于90时，跳转到IL_0018：返回0；否则返回1。

所以整段代码的意思就是：通过比较输入字符的ASCII码，来确定它是不是字母，如果输入的是字母则程序返回1，否则返回0。

一样的代码，只不过换成了Java字节码
Java 1.8 compiler:

public boolean f(char);
    descriptor: (C)Z
    flags: ACC_PUBLIC
    Code:
      stack=2, locals=2, args_size=2
         0: iload_1        //第二个int型局部变量进栈顶
         1: bipush        97    //将一个byte型常量值97作为一个int整型值推送至栈顶
         3: if_icmplt     14     //比较栈顶两int型数值大小，当结果小于0时跳转到位置14
         6: iload_1         //第二个int型局部变量进栈
         7: bipush        122   //将一个byte型常量122值作为一个int整型值推送至栈顶
         9: if_icmpgt     14    //比较栈顶两int型数值大小，当结果大于0时跳转到位置14
        12: iconst_1       //int型常量值1进栈
        13: ireturn         //当前方法返回int
        14: iload_1          //第二个int型局部变量进栈
        15: bipush        65   //将一个byte型常量值65作为一个int整型值推送至栈顶
        17: if_icmplt     28    //比较栈顶两int型数值大小，当结果小于0时跳转到位置28
        20: iload_1         //第二个int型局部变量进栈
        21: bipush        90    //将一个byte型常量值90作为一个int整型值推送至栈顶
        23: if_icmpgt     28    //比较栈顶两int型数值大小，当结果大于0时跳转到位置28
        26: iconst_1      //int型常量值1进栈
        27: ireturn       //当前方法返回int值
        28: iconst_0      //int型常量值0进栈
        29: ireturn       //当前方法返回int值

这段指令集的作用和第一段一样，通过比较输入字符的ASCII码，来确定它是不是字母，如果输入的是字母则程序返回1，否则返回0。

2、图片隐写解密

2017bath这张图片有一些文字片段，可能简单加密了，是某人说的，此人的姓名是什么？
hint：hex editor

刚开始根据提示用hex editor打开这张照片，设置为Hex 16进制查看,字符集设为utf-8：

果然在文件中看到了Rail-Fence.txt，这时候就怀疑它是不是在图片里放了txt文本文件，这时想起曾做过一道将文件隐藏在图片中的题。将文件后缀名改为.zip文件，尝试用压缩软件打开图片，果然发现了一个隐藏的文件：

打开txt文件，得到一长串乱序的字符：

应该是经过某种加密的，注意到文件名是Rail-Fence：栅栏加密算法。接下来就是编程解密的过程：
代码如下：

#include<bits/stdc++.h>

using namespace std;
int main()
{
    string s="CrudreasrsheheanaulhfouCmhlaopiaeifltouermrtdpiyeCntpmafhnpbgmbaoagspeuteuwtecwokpetwutileolctnreoicottievhetepriogoseIretodaiithgottfeorhersnueualtebtfamtnseetehrnieipooilrshashyhsrmttmanariaictntgutdeeonmotaudeowuselctnfeoghrtsbaCrgarhtbprthcirarQktodbeatees";
    int num,len=s.length();
    cout<<"待解密的密文字符串是："<<s<<endl;
    cout<<"长度为："<<len<<endl;
    cout<<"请输入栅栏密码解密每个分组的长度"<<endl;
    ///从2开始递增
    cin>>num;
    int ary=ceil(len/(double)num);
    cout<<"按照分组长度解密后的明文字符串长度为："<<ary<<endl;
    cout<<"解密后的明文字符串为：";
    for(int i=0;i<ary;i++)
    {
        for(int j=0;j<num;j++)
        {
            cout<<s[ary*j+i];
        }
    }
    return 0;
}

运行时，先假定每组2个字符，解密后发现还是乱序：

故慢慢加大每组字符的长度，直到数字为9的时候，发现解密后的字符串是可以识别的，解密成功：

解密后的文本：Cpp is a horrible language.It made more horrible by the fact that a lot of substandard programmers use it to the point where its much much easier to generate total and utter crap with it.Quite frankly even if the choice of C were to do nothing but keep the Cpp programmers out that in itself would be a huge reason to use C.
通过网络查询到上面这段话出自Linus Torvalds（“Linux之父”，Linux核心的创作者），故本题的答案应该是Linus Torvalds。

3、CrackMe1

运行CrackMe1.exe，提示 “嗯，对了” 代表成功。首先修改exe使得出现成功提示，其次不修改exe输入正确的密码达到成功的目的。

先打开CrackMe1.exe，看来是输入一个字符串得到正确答案的题：

（1）修改exe使得出现成功提示

i.用dnSpy修改CrackMe1.exe

用dnSpy打开CrackMe1.exe，反编译：

直接修改代码，将代码

“fOCPTVF0diO+B0IMXntkPoRJDUj5CCsT”==this.Encode(this.textBox1.Text)

中的相等==修改为不相等!=

这样只要我们输入错误的答案都能输出“嗯，对了。。”

结果果然输出了“嗯，对了。。”

ii.用IDA修改CrackMe1.exe

先用IDA打开CrackMe1.exe，
原本想通过字符串“嗯，对了。。”找到文件的关键位置

但发现可能因为是中文或是.Net弹窗的原因，反汇编中没有任何字符串。

只好查看出现的函数名称和各部分Names

找到了加密函数的入口位置：

点进去查看：

找到加密部分函数的中间代码MSIL 反汇编程序：

用Graph view来看逻辑更清楚

Ceq指令的意思就是判断前面的两个值相等就返回1，不相等就返回0。所以我们现在的目的就是修改ceq，改变它的返回值。双击ceq，定位到它的位置上去：

打开IDA显示指令对应的16进制机器码，将ceq对应的机器码：FE 01 修改成clt对应的机器码：FE 04

运行成功输出了“嗯，对了。。”：

iii.用ILDASM和ILASM修改CrackMe1.exe

先用ILDASM打开CrackMe1.exe

转储，保存为：

用编辑器打开：

将ceq跳转修改为clt跳转：

再用ILASM将.il文件编译成.exe文件。

成功输出了“嗯，对了。。”：

（2）不修改exe输入正确的密码达到成功的目的

先用.NET Reflector打开CrackMe1.exe。

将反编译出来的C#代码输出到本地：

因为虽然代码在Reflector上虽然已经有了，但是是以每个函数为单位的，输出到本地可以是整体的文件，可以更好的看出代码结构和逻辑：

我们可以看出来这个CrackMe1.exe主要的逻辑就是，将输入的字符串加密后与“fOCPTVF0diO+B0IMXntkPoRJDUj5CCsT”相等，就输出“嗯，对了。。”。

主要的就是这个加密函数：

所以我们只要将“fOCPTVF0diO+B0IMXntkPoRJDUj5CCsT”解密出需要输入的字符串即可。
C#源代码：

/*
 * Created by SharpDevelop.
 * User: 
 * Date: 
 * Time: 
 * 
 * To change this template use Tools | Options | Coding | Edit Standard Headers.
 */
using System;
using System.Text;
using System.Collections;
using System.IO;
using System.Security.Cryptography;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Formatters;
using System.Runtime.Serialization.Formatters.Binary;

namespace Project
{
    class Program
    {
        public static void Main(string[] args)
        {
            /*解密出的字符串*/
            string result; 
            /*最后的加密字节数组*/
            byte[] byte1 = Convert.FromBase64String("fOCPTVF0diO+B0IMXntkPoRJDUj5CCsT");  
            byte[] bytes = Encoding.ASCII.GetBytes("wctf{wol");  
            byte[] bytes2 = Encoding.ASCII.GetBytes("dy_crack}"); 
            /*DES解密对象*/
            DESCryptoServiceProvider dESCryptoServiceProvider = new DESCryptoServiceProvider();  
            
            /*创建其支持存储区为内存的流*/
            MemoryStream memoryStream = new MemoryStream();  
            /*将数据流链接到加密转换的流*/
            CryptoStream cryptoStream = new CryptoStream(memoryStream, dESCryptoServiceProvider.CreateDecryptor(bytes, bytes2), CryptoStreamMode.Write);  
            /*将一个字节序列写入当前 CryptoStream，并将流中的当前位置提升写入的字节数*/
            cryptoStream.Write(byte1, 0, byte1.Length);
            /*用缓冲区的当前状态更新基础数据源或储存库，随后清除缓冲区。*/
            cryptoStream.FlushFinalBlock(); 
            
            /*将memoryStream对象序列化，从而将其中的对象值转换成byte[]*/
            MemoryStream ms = new MemoryStream();
            /*序列化接口IFormatter实例化二进制子类BinaryFormatter*/
            IFormatter formatter = new BinaryFormatter();
            /*转换成字节数组*/
            formatter.Serialize(ms, memoryStream);
            
            /*设置文本字符串的编码格式对象*/
            System.Text.Encoding encoding = System.Text.Encoding.UTF8;
            /*将字节数组转换成字符串*/
            result = encoding.GetString(memoryStream.GetBuffer());    
              /*输出解密后的字符串*/        
            Console.WriteLine(result);
            /*等待读取任何一个键，输入任何一个键关闭输出屏，如果没有这一行，上面输出结果之后会马上关闭输出框*/
            Console.ReadKey();
        }
    }
}

运行结果：

输出解密后的字符串为：wctf{dotnet_crackme1}
将它输入到原始CrackMe1.exe的输入框：

结果正确。

4、（选做）修改CrackMe1.exe

修改CrackMe1.exe使得：只有输入你的学号才能出现成功提示。并且把“大家好…net”这段话全部换成自己自定义的英文。

（1）输入你的学号才能出现成功提示

第一步我们需要获得学号加密后的密文。参考CrackMe1.exe的加密过程，不难得到。
C#源代码：

/*
 * Created by SharpDevelop.
 * User: 
 * Date: 
 * Time: 15:43
 * 
 * To change this template use Tools | Options | Coding | Edit Standard Headers.
 */
using System;
using System.Text;
using System.Collections;
using System.IO;
using System.Security.Cryptography;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Formatters;
using System.Runtime.Serialization.Formatters.Binary;

namespace Project
{
    /// <summary>
    /// Description of Class1.
    /// </summary>
    public class Lab3_4
    {
        public static void Main(string[] args)
        {
            string result;
            string data = "123456789";
            byte[] bytes = Encoding.ASCII.GetBytes("wctf{wol");
            byte[] bytes2 = Encoding.ASCII.GetBytes("dy_crack}");
            DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();
            int keySize = descryptoServiceProvider.KeySize;
            MemoryStream memoryStream = new MemoryStream();
            CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateEncryptor(bytes, bytes2), CryptoStreamMode.Write);
            StreamWriter streamWriter = new StreamWriter(cryptoStream);
            streamWriter.Write(data);
            streamWriter.Flush();
            cryptoStream.FlushFinalBlock();
            streamWriter.Flush();
            result = Convert.ToBase64String(memoryStream.GetBuffer(), 0, (int)memoryStream.Length);
            Console.WriteLine("加密后的结果为："+result);
            Console.ReadKey();
        }
    }
}

运行结果：

学号加密后的结果为：vkXl8nCEIRwc0IFLYf2*****
将判断条件处的密文修改为学号的密文：

编辑方法，修改代码为学号的密文：

输入学号：

（2）把“大家好…net”这段话全部换成自己自定义的英文。

用dnSpy打开CrackMe1.exe，将中文修改成英文。

运行结果：

5. 运行login.exe，提示 “You Get It!” 代表成功。

先用dnSpy打开login.exe，找到主要的判断函数：

所以输入字符串的要求是：
1、输入的密码长度为9位，
2、所有位置上的数字的ASCII码之和为472，
3、所有位置上的数字的ASCII码最终异或的结果为66
这样的数看起来不只一个，那么我们就随便找个简单的，由于一共9位，所以我们分成4组，每组两个字符，并且令它们每组ASCII码相等，这样异或完之后就是0，最终第9位的ASCII为66，再令中间的4组8个的ASCII码和为472-66=406即可。所以我们可以使用如下密码：22334422B、22222255B、B22333333等等均可以。

之后按照老师的额外要求，正确的密码是之前学长或学姐的学号，也就是有额外的限制，根据每位数字的要求可以算出对应的两个学号，具体的学号涉及个人隐私就不写出来了。