1.查壳
64位exe文件,没有壳
2.用64位IDA打开
找到主函数,F5查看伪代码
从后往前看,有一个判断语句,是两个数组进行比较的,我们双击byte_40F0E0查看里面的内容
所以能够推出byte_414040的内容,byte_414040是加密后的数据,在循环里能够逆出原来的Str,Str就是我们要拿到的flag
我们双击dword_40F040,也能看到其中的数据
这里最后出现的8 dup(0)并不是数据8,而是有8个0,这个8当时困扰了我好长时间
有了数据,直接上脚本
byte_40f0e0=[0x67, 0x79, 0x7B, 0x7F, 0x75, 0x2B, 0x3C, 0x52, 0x53, 0x79,0x57, 0x5E, 0x5D, 0x42, 0x7B, 0x2D, 0x2A, 0x66, 0x42, 0x7E,0x4C, 0x57, 0x79, 0x41, 0x6B, 0x7E, 0x65, 0x3C, 0x5C, 0x45,0x6F, 0x62, 0x4D]
dword_40F040=[9, 0x0A, 0x0F, 0x17, 7, 0x18, 0x0C, 6, 1, 0x10, 3, 0x11, 0x20, 0x1D, 0x0B, 0x1E, 0x1B, 0x16, 4, 0x0D, 0x13, 0x14,0x15, 2, 0x19, 5, 0x1F, 8, 0x12, 0x1A, 0x1C, 0x0E,0]
Str=[]
for i in range(0,33):
Str.append(0)
for i in range(0,33):
byte_40f0e0[i]=byte_40f0e0[i]^dword_40F040[i]
Str[dword_40F040[i]]=byte_40f0e0[i]
flag=''
for i in range(0,len(Str)):
flag+=chr(Str[i])
print(flag)
>>>MRCTF{Tr4nsp0sltiON_Clph3r_1s_3z}
flag{Tr4nsp0sltiON_Clph3r_1s_3z}
提交,成功!!!
补充
LOWORD, HIWORD, LOBYTE, HIBYTE的解释
int 类型大小正常为4Byte
以小端序来看 0x12345678在内存中的存储为
0x78 0x56 0x34 0x12
而
LOWORD 5678
HIWORD 1234
LOBYTE 78
HIBYTE 56
dup
dup是汇编操作符
在汇编语言中同db,dw,dd等一样,也是汇编器处理的符号,他是同db、dw,dd等数据定义的伪指令配合使用,用来进行数据的重复
db 重复的次数 dup (重复的字节性数据)
dw 重复的次数 dup (重复的字型数据)
dd 重复的次数 dup (重复的双字性数据)
8338
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
