[原创]2016腾讯的游戏安全竞赛题PC第一题解答-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]2016腾讯的游戏安全竞赛题PC第一题解答

发表于: 2016-3-13 12:42 13183

[原创]2016腾讯的游戏安全竞赛题PC第一题解答

wliupengw

2016-3-13 12:42

13183

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

3.png （25.73kb，5次下载）
MFCApplication1.rar （126.67kb，51次下载）
KeyGen20160312A.rar （1.30MB，58次下载）
firstTurn_PC.zip （210.82kb，43次下载）

收藏・18

免费・3

支持

最新回复 (28) 1 2 ▶
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 2 楼 "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789@%"最长的位置是0x3F,二进制最长6BIT,所以可以把4个字节压缩成3个字节，当时我在把3个字节还原成4个字节的时候，花了点时间。话说第一轮的结果出来没有? 上传的附件： QQ图片20160314131233.jpg （46.00kb，3次下载） QQ图片20160314131229.jpg （47.84kb，5次下载） 2016-3-13 12:53 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 3 楼是的 3个字节还原4个字节我也是花时间最多的哈，结果是14号公布吧不过我看到题的时候是9号了，9号24:00提交，咱不是学生这能围观了 2016-3-13 12:59 0
jfztaq 雪币： 193 活跃值： (1210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 4 楼只能膜拜一下了 2016-3-13 13:16 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 5 楼围观一下，分享实录 2016-3-13 18:58 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼编辑了一下你的帖，把题目上传上来了。 2016-3-13 19:34 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 7 楼第一次传附件弄的乱七八糟谢谢坛主大大帮忙 2016-3-13 20:00 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 8 楼小弟刚刚初学逆向这些,根据大哥的提示也成功断到大哥那些地址,跟大哥上面一致,我想用直接爆破跳转去修改这个程序,联系下,但是出现了一点疑问..求指点下, 我直接跳转到 xor eax,eax 然后把直接强行把eax赋值1,改成 mov eax,1 然后往下面跟踪也发现 eax的值修改为1 但是程序运行后,提示的确实乱码,我不太理解,求解答 2016-3-14 04:09 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼首先你破坏了汇编指令那就肯定错了。 ------------------------------------------ 在我选中的指令处下端点，然后寄存器窗口-ESP-右键“数据窗口跟随”-再看数据窗口：你会发现账户名，然后继续单步下去的话会看见字符串注册失败成功往下在拉一些就可以看见你输入的序列号。在楼主说的xor，eax.eax处下个断点，F9-F8-寄存器窗口修改eax为1 往下走一步结果：再试试？上传的附件： 1.png （78.70kb，5次下载） 2.png （20.15kb，2次下载） 3.png （40.75kb，7次下载） 4.png （8.12kb，3次下载） 2016-3-14 10:04 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 10 楼置1是可以的提示注册成功的可是我就是想这种内存修改代码试试楼主已经公布了算法的了所以自己想试试内存改代码的 2016-3-14 11:44 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 11 楼那就JMP或CALL更改。 2016-3-14 12:02 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 12 楼 003821E4 83C4 04 add esp,4 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 003821E9 8B5484 7D mov edx,dword ptr ss:[esp+eax4+7D] 003821ED . 8B4C24 54 mov ecx,dword ptr ss:[esp+54] 你修改成 mov eax,1 是占5个字节的破坏了mov edx,dword ptr ss:[esp+eax4+7D]这条指令这是通过指针取失败和成功的字符的你破坏了就造成没有取堆栈的字符直接压栈EDX 显示乱码了你可以这样爆破，在判断用户名长度跳转这里直接JMP到 003821E4。 003821E4 83C4 04 add esp,4 这里是3个字节+上下面xor eax,eax 正好是5个字节 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 00381F96 /0F87 4B020000 ja Tencent2.003821E7 ; 原来的 00381F9C . \|33C0 xor eax,eax 00381F93 . 83F8 0E cmp eax,0E 00381F96 - E9 7962CBFF jmp 00038214 修改后JMP无条件跳转，不管用户名长度如何都跳到成功 003821DF . E8 C30A0000 call Tencent2.00382CA7 003821E4 B8 01000000 mov eax,1 //修改后没有破坏下面要执行的指令 003821E9 8B5484 7D mov edx,dword ptr ss:[esp+eax*4+7D] 003821ED . 8B4C24 54 mov ecx,dword ptr ss:[esp+54] 003821F1 . 8D4424 74 lea eax,dword ptr ss:[esp+74] 2016-3-14 14:10 0
网管执法雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	网管执法 13 楼为什么我在 IsDebuggerPresent 下断点不走呢？ 2016-3-14 14:27 0
gs笨笨雪币： 443 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 77 粉丝 0 关注私信	gs笨笨 14 楼楼主试试上面内联汇编部分换成下面这样能不能生成你要的，我只是个新手，如果说错了，不要骂我 a = (int)&strb[i] / 10; 2016-3-14 14:53 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 15 楼 [QUOTE=gs笨笨;1419862]楼主试试上面内联汇编部分换成下面这样能不能生成你要的，我只是个新手，如果说错了，不要骂我 a = (int)&strb[i] / 10;[/QUOTE] 楼上正解测试通过 2016-3-14 17:04 0
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼分析的不错，支持一下 2016-3-14 19:03 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 17 楼 [QUOTE=wliupengw;1419846]003821E4 83C4 04 add esp,4 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 003821E9 8B5484 7D mov edx,dword ptr ss:[esp...[/QUOTE] 明白了, 谢谢大哥~测试通过 2016-3-14 19:43 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 18 楼不对呀，楼主，我看你3个恢复四个时候，好像不是它那个加密算法的逆运算呀， miadie[0]=neu_lastword21[i3+0]; miadie[1]=neu_lastword21[i3+1]; miadie[2]=neu_lastword21[i3+2]; password[2+i4]=0x20; password[3+i4]=miadie[2]-password[2+i4]<<6;//((miadie[1]^((password[1+i4]<<4)))&0xf)<<2; password[1+i4]=(miadie[1]^((password[2+i4]>>2)&0xf))>>4; password[0+i4]=(miadie[0]-((password[1+i*4]>>4)&3))%4; 我这样算不知道为什么得不到正解呀 2016-3-16 20:15 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 19 楼楼主，我就是密码还原部分不懂，而且也没有看懂你的思路哦，好像你没有严格按照加密的逆运算来搞，而且好像很多你都是直接当0的，能讲解一下吗 2016-3-16 20:40 0
囧囧雪币： 284 活跃值： (3579) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 20 楼你说有段汇编怎么用C++写，那个是指令里有个算数右移sar，牵扯的符号位的问题，那个变量a要定义为有符号数int 2016-3-18 02:08 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 21 楼嗯，搞明白了。就是一个有符号除法我没有转换有符号类型才出错 2016-3-19 19:40 0
verlen 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 20 粉丝 0 关注私信	verlen 22 楼我也是断在GetDlgItem这里，一直F8下去，堆栈都没有出现过注册成功或者失败的字样诶，是不是要跟进call里面的？ 2016-3-19 22:22 0
gezichong 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	gezichong 23 楼不错不错 2016-3-21 01:01 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 24 楼是不是说要看出它的左移右移要看出是哪一种乘除运算，再做反向运算？不一定对照着汇编做反向运算？？？？ 2016-3-21 14:44 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 25 楼是不是说做算法反向的时候，需要看懂那些左移右移代表的乘除含义，再做运算级的反向？不要做汇编级的反向？ 2016-3-21 14:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wliupengw

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 2 楼 "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789@%"最长的位置是0x3F,二进制最长6BIT,所以可以把4个字节压缩成3个字节，当时我在把3个字节还原成4个字节的时候，花了点时间。话说第一轮的结果出来没有? 上传的附件： QQ图片20160314131233.jpg （46.00kb，3次下载） QQ图片20160314131229.jpg （47.84kb，5次下载） 2016-3-13 12:53 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 3 楼是的 3个字节还原4个字节我也是花时间最多的哈，结果是14号公布吧不过我看到题的时候是9号了，9号24:00提交，咱不是学生这能围观了 2016-3-13 12:59 0
jfztaq 雪币： 193 活跃值： (1210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 4 楼只能膜拜一下了 2016-3-13 13:16 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 5 楼围观一下，分享实录 2016-3-13 18:58 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼编辑了一下你的帖，把题目上传上来了。 2016-3-13 19:34 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 7 楼第一次传附件弄的乱七八糟谢谢坛主大大帮忙 2016-3-13 20:00 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 8 楼小弟刚刚初学逆向这些,根据大哥的提示也成功断到大哥那些地址,跟大哥上面一致,我想用直接爆破跳转去修改这个程序,联系下,但是出现了一点疑问..求指点下, 我直接跳转到 xor eax,eax 然后把直接强行把eax赋值1,改成 mov eax,1 然后往下面跟踪也发现 eax的值修改为1 但是程序运行后,提示的确实乱码,我不太理解,求解答 2016-3-14 04:09 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼首先你破坏了汇编指令那就肯定错了。 ------------------------------------------ 在我选中的指令处下端点，然后寄存器窗口-ESP-右键“数据窗口跟随”-再看数据窗口：你会发现账户名，然后继续单步下去的话会看见字符串注册失败成功往下在拉一些就可以看见你输入的序列号。在楼主说的xor，eax.eax处下个断点，F9-F8-寄存器窗口修改eax为1 往下走一步结果：再试试？上传的附件： 1.png （78.70kb，5次下载） 2.png （20.15kb，2次下载） 3.png （40.75kb，7次下载） 4.png （8.12kb，3次下载） 2016-3-14 10:04 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 10 楼置1是可以的提示注册成功的可是我就是想这种内存修改代码试试楼主已经公布了算法的了所以自己想试试内存改代码的 2016-3-14 11:44 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 11 楼那就JMP或CALL更改。 2016-3-14 12:02 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 12 楼 003821E4 83C4 04 add esp,4 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 003821E9 8B5484 7D mov edx,dword ptr ss:[esp+eax4+7D] 003821ED . 8B4C24 54 mov ecx,dword ptr ss:[esp+54] 你修改成 mov eax,1 是占5个字节的破坏了mov edx,dword ptr ss:[esp+eax4+7D]这条指令这是通过指针取失败和成功的字符的你破坏了就造成没有取堆栈的字符直接压栈EDX 显示乱码了你可以这样爆破，在判断用户名长度跳转这里直接JMP到 003821E4。 003821E4 83C4 04 add esp,4 这里是3个字节+上下面xor eax,eax 正好是5个字节 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 00381F96 /0F87 4B020000 ja Tencent2.003821E7 ; 原来的 00381F9C . \|33C0 xor eax,eax 00381F93 . 83F8 0E cmp eax,0E 00381F96 - E9 7962CBFF jmp 00038214 修改后JMP无条件跳转，不管用户名长度如何都跳到成功 003821DF . E8 C30A0000 call Tencent2.00382CA7 003821E4 B8 01000000 mov eax,1 //修改后没有破坏下面要执行的指令 003821E9 8B5484 7D mov edx,dword ptr ss:[esp+eax*4+7D] 003821ED . 8B4C24 54 mov ecx,dword ptr ss:[esp+54] 003821F1 . 8D4424 74 lea eax,dword ptr ss:[esp+74] 2016-3-14 14:10 0
网管执法雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	网管执法 13 楼为什么我在 IsDebuggerPresent 下断点不走呢？ 2016-3-14 14:27 0
gs笨笨雪币： 443 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 77 粉丝 0 关注私信	gs笨笨 14 楼楼主试试上面内联汇编部分换成下面这样能不能生成你要的，我只是个新手，如果说错了，不要骂我 a = (int)&strb[i] / 10; 2016-3-14 14:53 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 15 楼 [QUOTE=gs笨笨;1419862]楼主试试上面内联汇编部分换成下面这样能不能生成你要的，我只是个新手，如果说错了，不要骂我 a = (int)&strb[i] / 10;[/QUOTE] 楼上正解测试通过 2016-3-14 17:04 0
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼分析的不错，支持一下 2016-3-14 19:03 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 17 楼 [QUOTE=wliupengw;1419846]003821E4 83C4 04 add esp,4 003821E7 33C0 xor eax,eax 这个汇编指令只占内存2个字节 003821E9 8B5484 7D mov edx,dword ptr ss:[esp...[/QUOTE] 明白了, 谢谢大哥~测试通过 2016-3-14 19:43 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 18 楼不对呀，楼主，我看你3个恢复四个时候，好像不是它那个加密算法的逆运算呀， miadie[0]=neu_lastword21[i3+0]; miadie[1]=neu_lastword21[i3+1]; miadie[2]=neu_lastword21[i3+2]; password[2+i4]=0x20; password[3+i4]=miadie[2]-password[2+i4]<<6;//((miadie[1]^((password[1+i4]<<4)))&0xf)<<2; password[1+i4]=(miadie[1]^((password[2+i4]>>2)&0xf))>>4; password[0+i4]=(miadie[0]-((password[1+i*4]>>4)&3))%4; 我这样算不知道为什么得不到正解呀 2016-3-16 20:15 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 19 楼楼主，我就是密码还原部分不懂，而且也没有看懂你的思路哦，好像你没有严格按照加密的逆运算来搞，而且好像很多你都是直接当0的，能讲解一下吗 2016-3-16 20:40 0
囧囧雪币： 284 活跃值： (3579) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 20 楼你说有段汇编怎么用C++写，那个是指令里有个算数右移sar，牵扯的符号位的问题，那个变量a要定义为有符号数int 2016-3-18 02:08 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 21 楼嗯，搞明白了。就是一个有符号除法我没有转换有符号类型才出错 2016-3-19 19:40 0
verlen 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 20 粉丝 0 关注私信	verlen 22 楼我也是断在GetDlgItem这里，一直F8下去，堆栈都没有出现过注册成功或者失败的字样诶，是不是要跟进call里面的？ 2016-3-19 22:22 0
gezichong 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	gezichong 23 楼不错不错 2016-3-21 01:01 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 24 楼是不是说要看出它的左移右移要看出是哪一种乘除运算，再做反向运算？不一定对照着汇编做反向运算？？？？ 2016-3-21 14:44 0
daowang 雪币： 229 活跃值： (94) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 80 粉丝 4 关注私信	daowang 1 25 楼是不是说做算法反向的时候，需要看懂那些左移右移代表的乘除含义，再做运算级的反向？不要做汇编级的反向？ 2016-3-21 14:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复