某CAD论坛里的一个CM分析

hwt1995511

第一次做这种分析，可能难免有些不对的地方，也请大家多多指教。另外先说明一下，我已经先在那个论坛里把答案贴了出来，下图是我在那个论坛的会员截图（为避免广告，论坛logo已经打码）


根据作者的说法，在CAD里加载了syz-int.fas后，通过(syz-write-int "abcd.txt" 1415927)就可以把1415927写到c:\programdata\abcd.txt中，并且abcd.txt的文件大小为零。但当你用(princ (syz-read-int  "abcd.txt" ))去读取abcd.txt时，你会发现CAD可以读出1415927。作者给出的要求是找出这个数字藏在了什么地方。

分析过程：（我这边用7355608作为写入的整数）
1、在AutoCAD里完成对syz-int.fas的加载后，打开火绒剑，监控了一下系统的操作，发现确实只有acad.exe在对文件进行写操作。

此时在C:\ProgramData下确实只有一个0字节的52pojie.txt文件。

接着在AutoCAD里读取这个文件，确认可以正常读出数值。


既然这个数不在文本里，但又和这个文件有关联，那99%会藏在“不可视境界线”里。
于是祭出x-ways forensics，打开C盘，直奔这个文件

不出所料，在这个文件里看到了一组“D83C7000”的十六进制数。
7355608的十六进制是703CD8，恰好就是D83C70倒序输出。所以，可以确定那位作者是把整数藏在了文件的开头部分。
为了方便对比，我也建了一个empty.txt的空白文件，大家应该可以发现这两个文件的差异了。


最后把作者的源文件放在附件里，供大家尝试。
把注册码藏起来.zip (1 KB, 下载次数: 1)

2022-5-3 14:06 上传

点击文件名下载附件

啥？不知道怎么加载？
把syz-int.fas复制到c:/APPS/下，然后在CAD里通过APPLOAD命令加载那个lsp文件即可。当然也可以用记事本打开那个lsp文件，把fas文件的路径改成自己当前的。

igood

mj的编程xz，api monitor 也可以监控到，学习一下思路

songqingxu

igood 发表于 2022-5-5 21:07
mj的编程xz，api monitor 也可以监控到，学习一下思路

我说的是

dianziguan

试试把这个小fas文件反编译成lsp？没几个字节，应该难度不大。

taxuewuhen

感谢分享！

kqc666

非常感谢分享，正是我需要的

cookieandww

非常感谢楼主分享！