首页
社区
课程
招聘
[原创]第八题 惊天阴谋
发表于: 2020-12-6 15:20 8703

[原创]第八题 惊天阴谋

2020-12-6 15:20
8703

    验证总体分为两部分,后半段ccfer很快就完成了,"注意是很快啊,啪的一下"就完成了,前部分ccfer老大第二天没空,留给我解决了

     将程序拖入IDA,发现很多花指令,然后打开程序输入提供的username和serial,发现程序退出了,都还没调试就退出,看来是检测到了一些它不高兴的进程。

首先把花指令去掉吧,看它究竟做着什么神秘的事情。


经过大致的整理,基本就是上面的。

然后就是去反调试

 基本就是上面的,还有一处在调试器里面patch一下就可以了。

需要注意的是这个地方,不能简单的patch掉

 其中夹杂着后面需要调用的advapi32,应该是作者手工改的,我们手工改一改就行了

    整体的检验函数大致如下

前半段算法大致是这样的 首先经过函数sub_402EE0转个十几万次的圈 -> 然后windows api加密一次 -> 再用改了的AES加密一手

下面说下怎么分析加密流程的

简单看了下402EE0,大致是这样的

计算的操作的都是加减法,异或之类的,应该可以解决,但是转圈圈的次数太多比较麻烦,后面再来分析

接着就来到windows api的地方

照着它的参数调用,然后去问一问度娘,就可以基本实现了,实现代码如下

继续往下面看

这处应该就是倒推,能将16个扩展32字节的地方

继续向下推

来到4033B0,进去看到这个地方

感觉像是密钥扩展

为了验证一下,上网随便搜了个代码把里面得SBOX改了下

最后确实发现是个改了SBOX的AES,因此只需求出逆盒就行了

实现算法如下

至此前半部分基本完了


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-12-6 15:27 被大帅锅编辑 ,原因:
上传的附件:
收藏
免费 7
支持
分享
最新回复 (1)
雪    币: 97697
活跃值: (200829)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
支持!
2020-12-7 15:08
0
游客
登录 | 注册 方可回帖
返回
//