这道题自己做的时候确实没有思路,找了好长时间连一个加密函数都没看到,查看大佬们的wp才明白,这原来是一个双进程保护程序,加密函数在子进程中,只不过被保护了,所以我没有看到。
1.先分析父进程,也就是主函数main_0:
里面的v16和v15即:
是用来修改int3下的nop,改为正常程序语句头部。
2.子进程为sub_403922函数:
进入:
第21行有一个__debugbreak()反调试函数,按table键查看:
有一个int3指令,int3指令就是在动态调试的时候下断点的语句的首字节改成0xCC,所以,我们动态调试的时候在int3里面就不能写入数据了。int3详细请参考:
探秘INT3指令 | 码农家园https://www.codenong.com/cs106526086/所以我们需要手动重新写入数据,也就是将int3下面的nop的首字节改成父进程中的对应字节。
IDApython脚本:
from idc_bc695 import *
a = [0x90, 0x83, 0x7D, 0xF8, 0x18, 0x7D, 0x11]
b = 0x408AF8
for i in range(7):
PatchByte(b + i, a[i])
运行之后:
F5反编译:
进入sub_40247D函数,然后再进入sub_40460B函数,发现里面又出现一个__debugbreak()反调试函数:
然后按table之后发现正好int3指令有30位:
这就和刚才的操作差不多了,也是需要将v15的数据提出来,然后一一对应替换掉nop的首字节:
查看函数:
下面要找check函数:
sub_40247D函数有很多数据运算的过程,那下面的sub_40384B函数应该就是check判断函数了,通过汇编知识,找到函数的cmp判断指令:
找到要比较的字符串,也就是密文:
接下来就是解密了,sub_40247D函数是加密函数,其中有三个加密过程:
我们有密文,逆向一下得到flag:
iv=0x1234
inv=12
c=[0x3d1,0x2f0,0x52,0x475,0x1d2,0x2f0,0x224,0x51c,0x4e6,0x29f,0x2ee,0x39b,0x3f9,0x32b,0x2f2,0x5b5,0x24c,0x45a,0x34c,0x56d,0xa,0x4e6,0x476,0x2d9]
key=[2,3,7,14,30,57,120,251]
flag=[]
for i in range(24):
t=c[i]*inv%491
p=""
for i in range(8):
if key[7-i]>t:
p+="0"
else:
p+="1"
t-=key[7-i]
flag.append(int(p[::-1],2))
print(chr((flag[0]^0x1234)&0xff),end="")
for i in range(1,len(flag)):
print(chr((flag[i]^c[i-1])&0xff),end="")
#swpuctf{y0u_@re_s0_coo1}
最终得到flag:
flag{y0u_@re_s0_coo1}