作者:selph
HITCON CTF 2022 Writeup-checker
挺有意思的一道题,这里的关键函数是使用的动态生成执行操作,按照特定参数序列进行解密才能正常执行,否则一定会报错异常
checker
一共给了两个文件:checker.exe和checker_drv.sys
是一道驱动逆向的题,查壳,无壳,有签名的Windows 10 x64驱动
先看用户程序checker.exe:
逻辑很简单,就是打开符号链接发送IRP请求,控制码是0x222080,没有输入参数,接收1个字节的输出
接下来看驱动程序checker_drv.sys:
DriverEntry里面就这么一个函数,进来后,可以看到,先是创建驱动对象和符号链接,然后填充IRP处理函数
接下来往全局变量里填充了映射的内存地址,
•qword_140013170:里的是dword_140003000函数地址
•addr_140003030_qword:里的是dword_140003000+48数组地址
•qword_140013188:里的是sub_140001430函数地址
•qword_140013180:里的是sub_140001B30函数地址
最后就是一系列异或操作:
对qword_140013180里头的前16字节异或了两轮,使用的是qword_140013188里的前32字节的内容
qword_140013180地址的内容:
qword_140013188地址的内容:
可以看到这两个地址都是函数,这里用一个函数去异或另一个函数emmm
这大概是某种保护手段,阻碍静态分析,真正的函数是运行中动态生成的(实测,异或这两轮的结果并不是可执行的代码)
之前用户程序里看到,传入给驱动了一个控制码,这里到驱动里去看看这个控制码的作用:
除了这个控制码,上面还有8个控制码,等会再看
当用户传入0x222080的时候,驱动进入这个分支,如果数组byte_140013190里的8个值均为1,则会跳转到LABEL_21,很显然,这里验证的内容是dword_140003000的开头是否是hitcon,这说明这里会出现flag
byte_140013190的值是在哪里改变的呢?往上看:
上面的其他8个控制码分支,分别修改该数组的每一位为1,同时也会执行一个相同的处理函数(参数不同)
随便点进去一个看看:
首先是进行了对刚刚那个函数的又一轮异或操作,异或的值取决于函数的参数
然后对qword_140013170地址,也就是dword_140003000数组里的值进行修改,一共修改48个字节,修改方式是调用sub_140001B30函数(被异或了好几轮的那个)
最后再次异或一轮
整理一下思路:
•flag的生成,是在函数中通过调用一个奇怪的东西sub_140001B30生成出来的
•flag是否完成生产的判定是,是否走完了其他8个控制码的处理分支
那么是不是只需要依次把这8个函数都调用一遍,生成出来的内容就是flag了呢?经测试,根本执行不了,直接报错地址异常,应该是函数异或出来的东西就不是可执行的内容,在Windows 10 x64虚拟机上安装驱动实测则会蓝屏崩溃
这里我卡住了,感觉很接近了,但就是总差一点
休息了一下突然意识到,有没有可能是这8次函数调用的顺序问题?如果程序一定能执行成功的话,就一定能一个一个把8个函数执行出结果
于是经过一番倒腾测试,发现执行一个函数,只有最后一个函数能执行下去,能行,一定是顺序问题,经过又一番测试,得到最终测试顺序,
flag生成: