本题考点：代码层面是花指令和进程枚举反调试；算法层面是运用miracl大数库的RSA加密算法和AES加密算法。

这部分直接上代码看，静态分析。

start到main中间有个main的stub。

这本来应该是真正的main函数，但这却又是一个跳转，而且跳往的目标代码不正常，有花指令，应该是后来加上的。继续往下看。

里面有些花指令，手动调整了下，还并未作任何patch。
其实这里面的指令等价于：

再看这个跳转目标loc_403136：

这里是截取了一部分代码，这段代码除了有些花指令，反调试代码，其它都正常，加上后面代码的功能，猜测应该是真正的main函数部分代码。
再看,403136紧临403130，上面就说403130处的跳转不正常。事出反常必有妖。所以403130确实是main函数的入口，只不过被改了指令。先还原这部分指令，去年跳转。

403156处也有花指令，而且发现不止一处。模式为：

直接上脚本patch成nop。

顺便把rdtsc的代码也patch掉。

main函数patch后的伪代码如下：

rdtsc反调试只有一处。patch花指令时同时处理了。
剩下的还有sub_40100A函数，这里能不能算是反调试，我说不清楚。我也没明白这里设置的作用。主要代码功能就是进程检查，如果父进程是explorer.exe，则创建新进程并结束当前进程。因为这里影响AES密钥。我的做法是不用管，事实上对OD没什么作用（其实是如果不patch则后面的调试不了，如果patch注意此对AES的密钥影响），也没有影响AES加密结果。如果直接patch掉，就会影响AES密钥。

main函数中的主要流程是:

check1算法用了miracl大数库。
基本过程是：

很明显这是一个RSA算法计算过程。正好n可以在factordb上直接查到。

现在还差前面的3字节数字了

这部分算法是AES（有改动）。输入数据的前三字节作为了key的前三字节（第3字节与反调试代码有关系）。
AES密钥再引入输入前是0001314000000000。用输入的前三字节替换密钥的相应位置，并将第三字节加上495728处的数值（在sub_40100A`函数中设置），其实就是1。

所以密钥也不用枚举了，大家应该都能猜出来5211314000000000，输入是前三字节520。
AES加密：

明文pediy 后面补00
密钥 5211314000000000
加密结果：912CA2036A9A0656D17B6B552F157F8E （16进制）

所以最终flag为：520iamahandsomeguyhaha1

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课