逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…
脱壳
给了一个exe程序,MFC的图标。(但是是易语言写的,还加了壳…)
拖进IDA,
一开始有一长串脱壳的代码,一直往下拉,最后一条jmp 跳到原始入口点.
直接在此处下断点,此时的exe在内存中已经脱掉了壳,接下来把内存中的exe保存下来.
用lordPE看一下ImageSize,此处是0xe5000
用ida python把0x400000开始0xe5000个字节写到文件里面。
with open('dump.exe','wb') as file:
file.write(idc.get_bytes(0x400000,0xe5000))
接着修复exe (因为文件中的exe和内存中的状态是不一样的,FileAligment和MemAligment不同),简单一点,直接改FileAligment和MemAligment为一样的值,写成0x1000.
接着把每个Section在文件中的偏移和大小改成和在内存中的一样 (也就是VirtualAddress 和 Virtual Size)
修改entry point 为: 0x45fc55 - 0x400000
接着修复导入表(内存中的导入表对应位置已经被换成了函数的地址,现在再还原为函数的名字):
在IDA里面hex dump 分析一下,脱壳后的 导入表和脱壳之前的一样,直接照着之前的导入表抄下来就行
这里我已经修改过了,没修改之前的ThunkValue 处是一个函数地址,修改之后就是函数名字的偏移。
然后拖进IDA ,发现提示
看一下导入表,为空。
最后发现是section 权限问题,直接都改成rwx,导入表识别成功 并成功运行!
(LordPE修改的时候一定要save…)
逆向:
(发现前面和MFC的代码差不多…e语言应该是在MFC上又封装了很多.)
单步调式跟到这里的时候后面会进入阻塞状态,多跟几次,到0x4010B0的地方.
(一开始代码不是这样的,需要修改一下函数类型)
(看到哪里有一个 == 38,猜测是比较输入的长度,这里应该就是关键的代码了.)
看一代码,发现看不懂,接着写一个易语言程序来对比一下。
上面的代码对应的这样的c语言代码.大概稍微了解之后继续看我门的程序.
注意观察变量的值,进入4015c0
单步跟到这里(别的地方看不懂,这里和我们输入的数据有关,重点看一下)
里面貌似开了一块内存
struct {
dowrd 1
dword len
char szText
}
最后返回地址
一般情况下之后将会用这个指针来加密数据,往后看一下,红色圈主的部分使用了这个指针。
其实这里我是下硬件断点找到的,(猜测后面会使用那个指针)
两个关键的函数,进去看一下类似rc4加密。最后加密之后又放到前面的那个结构体中返回
后面一定会将加密后的数据和某些数据做对比,直接下断点。
这个函数比较加密后的数据和exe里面某个位置的数据,看一下调用时的参数,就是这里的数据.刚好对应前面的那个结构体.
解密程序:
char arr[] =
{
0x57, 0x33, 0x3B, 0x51, 0x0E, 0x90, 0x9A, 0xF4, 0x8A, 0xCA,
0x72, 0x20, 0x09, 0x26, 0x59, 0x3C, 0xF1, 0x81, 0x28, 0x4B,
0x88, 0xE3, 0x14, 0x87, 0x79, 0x21, 0x30, 0x62, 0xA6, 0xF5,
0xEB, 0x7C, 0x74, 0x06, 0x86, 0x66, 0xE1, 0x1A, 0x9D, 0xA0,
0xE5, 0x24, 0xF9, 0x99, 0x34, 0x29, 0x64, 0xB4, 0xB7, 0xBF,
0x60, 0xE7, 0x4D, 0xEC, 0x77, 0x15, 0x19, 0x8B, 0xEF, 0x6E,
0xA5, 0x55, 0x08, 0x89, 0x75, 0x7F, 0x1C, 0xCD, 0x2D, 0x0C,
0xE0, 0x5C, 0xE6, 0xAE, 0x2E, 0x3D, 0xC6, 0x94, 0x5B, 0xBB,
0x0D, 0xAC, 0xA3, 0xDF, 0xA8, 0x18, 0x67, 0x5F, 0x2C, 0xD8,
0x71, 0x1F, 0x48, 0xC8, 0x6D, 0x69, 0x46, 0x2F, 0x83, 0x27,
0x35, 0xA4, 0xE9, 0xB1, 0x16, 0xD5, 0x53, 0x52, 0x43, 0xD7,
0x8C, 0xA9, 0xDD, 0xFE, 0x4F, 0x6B, 0x9F, 0xD3, 0xAF, 0x56,
0xCF, 0x6F, 0x96, 0xD0, 0x3A, 0xDA, 0x84, 0x76, 0xF3, 0xE2,
0xE8, 0xF2, 0x8E, 0xDC, 0xD1, 0x4C, 0xB5, 0x1D, 0x0B, 0x9B,
0x05, 0x39, 0x2A, 0x03, 0x93, 0x49, 0x97, 0x68, 0xCB, 0xF0,
0xED, 0x32, 0xF8, 0x92, 0xA7, 0xC5, 0xB0, 0xC7, 0xC9, 0xFB,
0xA2, 0xAB, 0x38, 0xBC, 0xD9, 0xDE, 0x12, 0x63, 0x01, 0xCE,
0x95, 0x2B, 0x44, 0xB6, 0xC1, 0x8D, 0xB8, 0x6C, 0xFD, 0x54,
0xB3, 0xD6, 0x73, 0xCC, 0xD4, 0x23, 0x11, 0x85, 0xF7, 0x91,
0x3E, 0x5D, 0x7B, 0xA1, 0x9C, 0x98, 0x13, 0x22, 0xAD, 0x80,
0x02, 0x36, 0x58, 0xDB, 0xD2, 0x41, 0x42, 0x50, 0x25, 0x65,
0xEE, 0x82, 0x00, 0xC2, 0xFF, 0xFC, 0xB2, 0x70, 0x1E, 0x04,
0x5E, 0xE4, 0x47, 0xF6, 0x8F, 0xC0, 0x1B, 0x9E, 0xBA, 0x31,
0x7A, 0x45, 0xBE, 0x4E, 0x5A, 0xC3, 0xEA, 0x4A, 0x6A, 0xC4,
0x07, 0x0F, 0xFA, 0x10, 0x7D, 0x40, 0x78, 0x61, 0xBD, 0x0A,
0x7E, 0x37, 0xB9, 0x17, 0x3F, 0xAA, 0x00, 0x00, 0x00, 0x00
};
void swap(char*p1, char*p2){
char temp = *p1;
*p1 = *p2;
*p2 = temp;
}
char encoded_flag[] =
{ 0x56, 0xEC,
0xA0, 0xDC, 0x57, 0x07, 0xF4, 0xA3, 0xE9, 0x77, 0xBF, 0x93,
0xBC, 0x86, 0x52, 0xA5, 0x14, 0x6A, 0xA5, 0xBD, 0xB5, 0xD2,
0x7F, 0x0B, 0x9B, 0x67, 0x1D, 0x08, 0xEF, 0xC9, 0x32, 0x5D,
0x43, 0xED, 0x1E, 0x01, 0x4B, 0x7B,0
};
unsigned __int8 __cdecl enc_flag(char *flag, int len, char *arr)
{
int idx; // ebx
unsigned __int8 result; // al
char v6; // cl
unsigned __int8 v7; // di
char v8; // bp
unsigned __int8 v9; // [esp+8h] [ebp-Ch]
char *v10; // [esp+Ch] [ebp-8h]
char *v11; // [esp+10h] [ebp-4h]
unsigned __int8 arra; // [esp+20h] [ebp+Ch]
idx = 0;
result = arr[256];
v6 = arr[257];
if (len <= 0)
{
arr[256] = result;
arr[257] = v6;
}
else
{
v7 = result;
v8 = arr[257];
do
{
arra = v7 + 1;
v7 = arra;
v11 = &arr[arra];
v9 = v8 + *v11;
v8 = v9;
v10 = &arr[v9];
swap(v11, v10);
flag[idx++] ^= arr[(unsigned __int8)(*v11 + *v10)];
} while (idx < len);
result = v9;
arr[256] = arra;
arr[257] = v9;
}
return result;
}
int main()
{
enc_flag(encoded_flag, 38, arr);
return 0;
}
最后得到flag