吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1741|回复: 0
收起左侧

[CTF] 【2022春节】解题领红包之三 Windows 中级题

[复制链接]
天心阁下 发表于 2022-2-16 07:50
本帖最后由 天心阁下 于 2022-2-16 07:59 编辑

第一次完成Windows 中级题的逆向,用了数天,IDA的伪代码着实看得头大。
本文适合小白,文章思路及观点仅供参考。多图预警!!!
首先查壳,拖入查壳工具


die查壳

die查壳



很显然UPX,压缩壳尝试upx -d 命令脱壳,失败
手动脱壳,ESP定律载入OD,可以很明显可看到一个PUSHAD

图片2.png


F8单步,ESP变红,直接使用插件下硬件断点

图片3.png


F9运行

图片4.png


删除前面下的硬件断点F8单步跳过一个循环或选中sub esp,-0x80 F4运行到选中位置,再一直单步到OEP
OllyDump脱壳

图片5.png

图片6.png

能直接打开,脱壳完成



IDA打开,F5查看伪代码
图片7.png

静态分析,由于伪代码看得极其头疼,只能大致找找,算法分析甚至还原就放弃了。
找到关键判断语句
进入sub_401520函数


图片8.png

一些字符串处理,找到关键判断语句
进入sub_403ED0函数


图片9.png

很明显是明文比较回到IDA View-A,通过Synchronize with找到memcmp指令位置

图片10.png


很明显的repe cmpsb指令,地址 0x403EFAOD载入,翻到0x403EFA,或者Ctrl+F查找repe cmpsb

图片11.png


在该指令处F2下断,F9执行

图片12.png


很明显的flag{Happy_New_Year_52Pojie_2022}flag{Happy_New_Year_52Pojie_2022}作为Key再试

图片13.png

处理过后的字符串,符号位、数字位不变把aaaa{aaaaa_aaa_aaaa_52aaaaa_2022}作为Key再试

图片14.png

图片15.png


多次尝试,可以看出是字符偏移变换,并且偏移量与大小写和位置无关,根据偏移量还原字符串(UID不同,偏移量不相同)

图片16.png

图片17.png
结果正确


更改UID后,Key发生变化,很显然是根据UID计算一个偏移量,对Key的字母位进行偏移变换后明文对比。

免费评分

参与人数 2吾爱币 +8 热心值 +2 收起 理由
Hmily + 7 + 1 用心讨论,共获提升!
pojie_dd + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 14:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表