crackme
这是安洵杯2019的逆向题
链接:https://pan.baidu.com/s/16fb_-L-dE5knUPzkSFU5rQ
提取码:z405
逆向分析
首先在ida并没有发现什么加密位置
下面的check函数如下:
只是简单的判定,其中的str2为明文,而str1却是从未出现的量。
(其实看到这个就想到了base64,而且可以看到一个base64的原表
但是解不出来啥,而且也并没有运行到什么别的函数上去,我们运行看下:
显示了"sucessed hooked"已经成功的hook了,
恰好这个星期了解了下hook技术,简单说hook技术就是在程序运行的时候通过几种技术手段来改变程序流程走向操作者指定的函数,常见的是在调用api函数时,会先运行操作者的函数,然后再进入到原本应该调用的函数上,
我们进行动调,看下hook后进入的函数:
我们可以看到再调用MessageBoxW函数时进行了hook,会跳转到程序领空的一处地址,这里我们标记为My_Hook,
这是被hook后的函数,
首先是将我们前面看到的字符串原表中的大小写互换掉。然后调用了两个api函数,
我们继续运行,到这一句时会提示错误,
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0tR1gWua-1575295338121)(rec/image-20191202011710326.png)]](https://i-blog.csdnimg.cn/blog_migrate/ac541168468ffa1209a8ead1ced0ef31.png)
然后继续走会直接进入到另一个函数:
我们这个位置的函数,SetUnhandledExceptionFilter:
这个函数设定了一个函数,用于再报错后转入到这个函数运行,也就是我们前面看到的部分,这里其实是程序先设置好了这个转入的函数,然后故意的做出一个错误来进入这个函数执行,这里的目的应该是和前面使用的hook一样,为了不被发现这个函数的调用,
我们看这个函数就先设置好了16个参数,然后调用了一个函数我们定名为set_a218,接着再使用设置异常处理的函数,我们定名为:replace,我们转入看到:
set_a218
注意这个31行,v10的处理手段,各种异或操作
还有两个个数组为:
还有调用的一个函数,我们定名为wow_wow:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kikXVn0Q-1575295338128)(rec/image-20191202012706504.png)]](https://i-blog.csdnimg.cn/blog_migrate/974f488f36ea5138e6dd80a0c7fc9eb1.png)
这里的wow_wow调用了一个函数find我们看到:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BPWUoDAp-1575295338129)(rec/image-20191202012748606.png)]](https://i-blog.csdnimg.cn/blog_migrate/9a796f1a4c520d2d95130b3c6be80bd0.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FhRXOkZ9-1575295338130)(rec/image-20191202012757877.png)]](https://i-blog.csdnimg.cn/blog_migrate/9a87072d5e14be4cd179b8eef904da63.png)
简单了解sm4以后发现查表,两个数组,运算过程异或等运算都挺明显是sm4的加密方式。
这里我整个比赛期间都没有看出来,还是不够熟练,对各种加密方式也并不熟练,这里也导致到最后也没逆出来这个加密的位置,这道题就看了一天也没做出来。
这里面就是
replace函数如下:
最低0.47元/天 解锁文章
783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
