拖进ida f5中查看主函数,逻辑也是最常见的输入然后加密然后比较,sub_401080很明显是加密函数,进去看看
在该函数开头有一个sub_401000函数,很奇怪得进去看看
应该是把base64的表给改了,就是把第6到15个字符的与16到31的字符互换,直接动调断点取表
我在call sub_401000下打了断点,然后运行,就可以取出交换之后的表了
ABCDEFQRSTUVWXYPGHIJKLMNOZabcdefghijklmnopqrstuvwxyz0123456789+/
然后很明显就是一个base64的加密,但是后面还有坑,一开始我以为就这样就结束了,然后编写脚本发现怎么都跑不出来,然后我又回头看看,经过反复动调寻找,才发现后面还有一个转换大小写的函数
就是这个base64加密最后的函数sub_401030,最简单的大写转小写,小写转大写
然后编写脚本解密
import base64
import string
table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
change_table="ABCDEFQRSTUVWXYPGHIJKLMNOZabcdefghijklmnopqrstuvwxyz0123456789+/"
encode="zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9".swapcase()
print(len(encode))
print(base64.b64decode(encode.translate(str.maketrans(change_table,table))))