WP-南邮CTF逆向第六题 WxyVM2
- 用记事本打开WxyVM2,发现是elf文件
- 用ida pro载入这个文件,找到main函数
这个地方有个红色的部分 ,意思是块内容太大,无法显示, 这里我们先不用管,过会查看伪代码之后就知道什么意思了,,, - 按下F5查看伪代码,这个地方由于代码过于庞大,耐心等待了一会,终于显示出来了,对了,这个地方有的朋友可能由于代码段过大而没有办法查看伪代码,这个时候IDA会弹出一个窗口,如下
小编已经给整理出了解决方法:
修改配置文件IDA 7.0\cfg\hexrays.cfg
找到
MAX_FUNCSIZE = 64 // Functions over 64K are not decompiled
修改为
MAX_FUNCSIZE = 1024 // Functions over 64K are not decompiled
4. 等加载出伪代码之后,观察伪代码,发现用户在694100这个地址处输入数据,如果输入的字符不是25个的话,v4 = 0,由此推测flag是25个字符组成
5. 接下来是一长串代码,我们先不管他,因为既然这个代码这么长,说明它是有规律的,或者说绝大部分是没有用的
6. 直接来到main函数的末尾部分
观察末尾,694100是用户输入的地方,而694060存放的是程序本来的数据,,
由此推测,上面那一长串代码很可能是对用户输入的数据进行修改或者对694060处的数据进行修改,然后观察长串代码,发现很大部分并没有对694060处的数据和用户输入的数据进行修改,而有仅有一小部分对用户输入的数据进行修改,即对604100-604118范围内的数据进行修改。
7 . 因为程序最后是对694100-694118和694060-6940C3(因为694060存放是DWORD类型的),所以只要不是对这个范围的数据进行修改的代码都是没有用的。
8 . 我们观察一下中间那一串超长的代码,我们的目的是将有用的代码和没用的代码区分开,观察其汇编语言(因为这个时候看伪代码是看不出什么东西了)
观察其汇编代码,发现只要是对694100-694118处的东西进行修改的代码都是以movezx开头的,并且大部分是三个指令一起的,个别的是2个指令一起,如上图的第一个黑框中的代码,
movzx eax, cs:byte_694114
mov cs:byte_694114, al
仔细观察这2条指令的话,其实也是没有用的,但是为了便于筛选有用的汇编指令,我们按将其默认为有用(因为它也是movezx开头的),然后最后的时候我们再将其删掉即可
9 . 我们开始写脚本进行筛选
FindCode和GetDisasm这两个函数可以说是这个题解题的关键中的关键,这些IDC脚本在《IDA pro权威指南》中有详解,大家可以参考一下
打印指令后都是这样的
10 我们将这些指令复制到Notepad++中,方便我们将这些改写为IDC脚本
利用Notepad++的替换功能,我们将sub改为add,add改为sub等等 利用replace进行了一系列操作
最终得到了脚本
11 .因为这个是对694100处的数据进行逆向的,所以我们先写一个IDC脚本将694060处的对应的数据复制到694100处
12.最后我们运行我们刚才改好的脚本进行最终的逆向
得到最终的flag