高校战“疫” 天津垓

物联网 2020-03-11 10:18:28 阅读次数: 0

查壳
在这里插入图片描述
这个程序根据后面的分析是属于自解密一类的的程序,
这个程序在我电脑上跑不起来,搞了半天环境就是跑不起来
算了直接拖入IDA分析
进到入口函数
在这里插入图片描述
然后进入sub_100401B2F
在这里插入图片描述
接着进入sub_1004011F6(),这个函数是第一个key的check在这里插入图片描述
解密代码

a = "Rising_Hopper!"
tt = [17,8,6,10,15,20,42,59,47,3,47,4,16,72,62,0,7,16]
tmp = []
for j in range(len(tt)):
	for i in range(32,127):
		if tt[j] == ~(i & ord(a[j%14])) & (i | ord(a[j%14])):
			tmp.append(i)
print(tmp)
#第一个key为Caucasus@s_ability
#[67, 97, 117, 99, 97, 115, 117, 115, 64, 115, 95, 97, 98, 105, 108, 105, 116, 121]

这个函数对用户第一个输入Str进行检测,然后如果不对就直接退出,那么会不会在别的地方也用到了Str,对Str进行交叉引用
在这里插入图片描述
发现还有两个函数使用了Str,跟过去看下
在这里插入图片描述
发现这个函数的作用应该是属于自解密的,这个函数有三个参数,再通过交叉引用,跟到上一层,看下他的三个参数分别是啥
在这里插入图片描述
结合sub_100401506这个函数分析得知,第一个参数应该就是加密了的程序代码,第二个应该就是修改的字节数,第三个就是用户输入的那个第一个key;
而且sub_100401A6C这个函数最后还有对这个byte_10040164D进行函数调用的代码;代码段有一大段数据,这很不正常,说明这里的数据是被加密的函数
在这里插入图片描述
在这里插入图片描述
根据sub_100401506,写IDAPython脚本对byte_10040164D这段代码进行解密

a = [67, 97, 117, 99, 97, 115, 117, 115, 64, 115, 95, 97, 98, 105, 108, 105, 116, 121]
start = 0x10040164D
for i in range(1045):
    patch_byte(start+i,Byte(start+i) ^ a[i%18])

在这里插入图片描述
在IDA中运行解密代码
然后回到byte_10040164D处,按C,把数据转换为代码
在这里插入图片描述
接着按P,把这个段代码转换为函数
在这里插入图片描述
然后此处就可以F5看伪代码了
在这里插入图片描述
这里就是flag校验的逻辑代码
我写了个脚本进行爆破

a = """  v9 = 0x1EA272;
  v10 = 0x206FC4;
  v11 = 0x1D2203;
  v12 = 0x1EEF55;
  v13 = 0x24F111;
  v14 = 0x193A7C;
  v15 = 0x1F3C38;
  v16 = 0x21566D;
  v17 = 0x2323BF;
  v18 = 0x2289F9;
  v19 = 0x1D2203;
  v20 = 0x21098A;
  v21 = 0x1E08AC;
  v22 = 0x223D16;
  v23 = 0x1F891B;
  v24 = 0x2370A2;
  v25 = 0x1E558F;
  v26 = 0x223D16;
  v27 = 0x1C883D;
  v28 = 0x1F891B;
  v29 = 0x2289F9;
  v30 = 0x1C883D;
  v31 = 0xEB773;
  v32 = 0xE6A90;
  v33 = 0xE6A90;
  v34 = 0xE6A90;
  v35 = 0xB1CCF;
  v36 = 0x1C883D;
  v37 = 0x2289F9;
  v38 = 0x22D6DC;
  v39 = 0x223D16;
  v40 = 0x21566D;
  v41 = 0x21098A;
  v42 = 0x1EEF55;
  v43 = 0x1E558F;
  v44 = 0x223D16;
  v45 = 0x1C883D;
  v46 = 0x22D6DC;
  v47 = 0x1F3C38;
  v48 = 0x1D2203;
  v49 = 0x21098A;
  v50 = 0x1C883D;
  v51 = 0x24A42E;
  v52 = 0x1E558F;
  v53 = 0x223D16;
  v54 = 0x21566D;
  v55 = 0xD83E7;
  v56 = 0x21566D;
  v57 = 0x21098A;
  v58 = 0x1E558F;
  v59 = 0x258AD7;"""
import re
pt = re.compile(r"= (.*?);")
tmp = pt.findall(a)
flag = ""
for i in range(51):
	for j in range(32,127):
		if int(tmp[i],16) == (0x4ce3 * j % 0x8000000B):
			flag += chr(j)
			break
print(flag)

flag{Thousandriver_is_1000%_stronger_than_zero-one}
夏了茶糜
发布了9 篇原创文章 · 获赞 3 · 访问量 234
私信 关注

猜你喜欢

转载自blog.csdn.net/qin9800/article/details/104766704
今日推荐
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
最强开源大模型 Llama 3 上架 Gitee AI
周排行
自媒体文章如何提高原创度以及如何检测原创度
开启qq邮箱的smtp服务
Qt程序单次启动(QSingleApplication类)
国外的外包网站
更新IDEA主题——放飞代码风格
cocos2dx 实现搓牌效果(翻牌效果),包括铺平动画
dict和json之间的互相转换
angular的一些思考
. Fibonacci数列是这样定义的: F[0] = 0 F[1] = 1 for each i ≥ 2: F[i] = F[i-1] + F[i-2] 因此,Fibonacci数列就形如:0, 1
洛谷P1064 金明的预算方案
每日归档
更多
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022