简单分析一下smc
SMC题目的核心就在于自解密时的key
如果key不提供,那么考点就在于大量x86汇编中一般\x00出现的是最多的
而这需要基于一定量的代码之上才能猜出,而且这种题目相对而言可玩的花招要少很多
于是选择了将key由一个.init_array中的函数动态生成
下一步是自解密代码如何加密放在程序中
由于我们只能写出解密代码(编译前的高级语言),因此有两种方法
一种是先写好代码,编译后令程序将其加密,然后作为data输出字节码,最后将字节码保存在目标程序中
第二种是直接写目标程序,将需要加密的代码段通过Patch来重写。
Patch的时候想起来IDC对数组的支持非常反人类,明明语法类C,却不具备数组功能,查了一下据说需要使用Array函数来创建,试了一下也没成功,直接换IDAPython
只要记住API,IDAPython好用多了。
脚本:
def patch(start, end, key):
n = 0
while(start + n!=end+1):
addr = start + n
PatchByte(addr, Byte(addr)^key[n%len(key)]
n += 1
print("%d Byte has been changed" % n-1)
搞好以后运行疯狂报SIGABRT
动调以后发现是.text段不具备写权限
同样的,如果使用第一种方法,那么.data段解密完成以后是不具备执行权限的
因此需要使用mprotect来修改页属性
而mprotect操作的单位必须是页,第一个参数必须指向页起始地址。
最坑的是这些系统函数执行失败并不会报异常,而是返回-1,并设定perror的值
示例:
long pageSize = sysconf(_SC_PAGESIZE);
void pageStart = (void)((long)p - (long)p % pageSize);
其中p是目标地址(的指针)
然后通过mprotect(pageStart, pageSize, PROT_WRITE|PROT_EXEC)即可设置可写可执行属性了
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
