-
-
[原创]CTF2017 第三题 crackMe.exe writeup
-
发表于: 2017-10-28 16:03
-
一堆反调试的题……没什么难的,以下IDA截屏中已将所有反调试去掉(Keypatch call 为 mov eax,0 即可绕过)
https://github.com/siddontang/pygmcrypto
python flag 生成代码
上来直接开IDA,字符串里面随便看一看,好像有很多调试器的名字……估计是检查findwindow之类的。是常用的反调试方法
跟踪过去看代码,一路x上去,就能到达我们的主要的DialogFunc了
f5 以后看帆以后的结果,由于sub_274990访问了 这个数组
推测和base64有关(刚开始以为是改版的base64,不过后来查源码以后得知其实是base64的编码表和解码表对接在了一起) 从代码结构也可以看出是标准的base64解码(忽略末尾等号 padding)
从原始代码可看出我们的输入会被进行两次base64解码以后扔进get_output这个函数
DialogFunc
暂且先忽略get_output,继续往下看
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
