看题目就知道这是一道动调的题,buu有点刷不动了,转去xctf玩玩
果然,静态看什么都没有,(那个sub_401240貌似也是个没用的函数。。。
CreateFile 和 WriteFile 那两步看应该是把我们的输入以引用的方式传入了什么进程?(我不太懂,我瞎胡说的。。。)那就先动调看一下我们的输入也就是那个 NumberOfBytesWritten 会在哪一步被改变~
可以看出输入的aaaaaa被传入了
一步步 f8 ,发现call WriteFile之后输入就变了
所以要在 WriteFile 的地方f7步入,看看加密的函数在哪里。。
发现是在sub_401000的地方加密,f7步入,f5看伪代码(方便。。
八成就是这里了,逻辑不是很复杂
就是输入的奇数位减去v2 之后与v2异或
偶数位是下一个偶数位与v2异或
最后一位跟13异或
(emmmm v2 就是位数。。。。。
然后跟 byte_40A030比对,刚好19位。。。接下来就是写脚本了
#include<iostream>
#include<iomanip>
#define _CRT_SECURE_NO_WARNINGS
using namespace std;
int main()
{
int byte_40A030[19] = { 0x61, 0x6A, 0x79, 0x67, 0x6B, 0x46, 0x6D, 0x2E, 0x7F, 0x5F,
0x7E, 0x2D, 0x53, 0x56, 0x7B, 0x38, 0x6D, 0x4C, 0x6E };
for (int v2 = 18; v2 >= 0; v2--)
{
if (v2 == 18)
byte_40A030[18] ^= 0x13u;
else
{
if (v2 % 2)
byte_40A030[v2] = (v2 ^ byte_40A030[v2]) + v2;
else
byte_40A030[v2] = byte_40A030[v2 - 2] ^ (v2 - 2);
}
}
for (int i = 0; i < 19; i++)
{
printf("%c", byte_40A030[i]);
}
}
这里要注意异或那一步加括号!!然后偶数位是,例如:第16位是第14位和14异或这样
手动补个f 。。。。难得的动调题。。。晚安