main函数代码,这里改写了内存空间的属性,还是自解密
void __fastcall __noreturn main(int a1, char **a2, char **a3)
{
int i; // [rsp+8h] [rbp-48h]
char s[40]; // [rsp+20h] [rbp-30h] BYREF
unsigned __int64 v5; // [rsp+48h] [rbp-8h]
v5 = __readfsqword(0x28u);
__isoc99_scanf("%39s", s);
if ( (unsigned int)strlen(s) != 32 )
{
puts("Wrong!");
exit(0);
}
mprotect(&dword_400000, 0xF000uLL, 7);
for ( i = 0; i <= 223; ++i )
*((_BYTE *)sub_402219 + i) ^= 0x99u;
sub_40207B(&unk_603170);
sub_402219(s);
}
这里一坨数字,盲猜这里就是自解密的地方
整个idc脚本,运行完后选中这段数字,按c强制转换为代码,再将所有标红的部分选中按p,就能正常f5了
#include <idc.idc>
static main()
{
auto addr = 0x0040221A; //这里填入要解密字节串的起始地址
auto i = 0;
for(i=0;i<=223;i++) //循环结束的条件为字节串的结束地址
{
PatchByte(addr+i,Byte(addr+i)^0x99); //异或的数字根据情况修改
}
}
反汇编出的伪代码
__int64 __fastcall sub_40221A(__int64 a1)
{
unsigned int v2; // [rsp+18h] [rbp-D8h]
int i; // [rsp+1Ch] [rbp-D4h]
char v4[200]; // [rsp+20h] [rbp-D0h] BYREF
unsigned __int64 v5; // [rsp+E8h] [rbp-8h]
v5 = __readfsqword(0x28u);
sub_400A71(v4, &unk_603170);
sub_40196E(v4, a1);
sub_40196E(v4, a1 + 16);
v2 = 1;
for ( i = 0; i <= 31; ++i )
{
if ( *(_BYTE *)(i + a1) != byte_6030A0[i] )
v2 = 0;
}
return v2;
}
明显byte_6030A0中就是最后变换的flag,可以shift+e提取出来
看了下sub_40196E(v4, a1); 中的加密算法,有点复杂不太想看,还是直接动调吧
__int64 __fastcall sub_401828(__int64 a1, __int64 flag)
{
unsigned __int8 i; // [rsp+1Fh] [rbp-1h]
sub_400B0A(0LL, a1, flag);
for ( i = 1; i <= 9u; ++i )
{
sub_400BAC(a1);
sub_400C1F(a1);
sub_400D27(a1);
sub_400B0A(i, a1, flag);
}
sub_400BAC(a1);
sub_400C1F(a1);
return sub_400B0A(10LL, a1, flag);
}
添加权限
看下当前路径
填写对应信息
开始dbg,下断点输入32位字符
跟进 sub_401828,这里我把变量名改了下,方便看
这里就对flag进行了一波变换
看汇编代码,edi中存的就是输入flag的值,eax中存储的就是上面代码异或的值,打个断点,依次将eax的值记录下来
查看v4的值
直接跳转
因为v4 的大小最大为200,就将7FFEA43B22E0到00007FFEA43B238A的数据提取出来
还是得写脚本来逆。。。
试了下把 sub_40196E() 逆出来,,
from z3 import *
import numpy as np
v4 = [
0xCB, 0x8D, 0x49, 0x35, 0x21, 0xB4, 0x7A, 0x4C, 0xC1, 0xAE,
0x7E, 0x62, 0x22, 0x92, 0x66, 0xCE, 0x85, 0xBE, 0xC2, 0xA6,
0xA4, 0x0A, 0xB8, 0xEA, 0x65, 0xA4, 0xC6, 0x88, 0x47, 0x36,
0xA0, 0x46, 0x82, 0x5E, 0x98, 0x06, 0x26, 0x54, 0x20, 0xEC,
0x43, 0xF0, 0xE6, 0x64, 0x04, 0xC6, 0x46, 0x22, 0x32, 0x04,
0x0B,