-
-
[原创]第八题 惊天阴谋
-
发表于: 2020-12-6 15:20
-
验证总体分为两部分,后半段ccfer很快就完成了,"注意是很快啊,啪的一下"就完成了,前部分ccfer老大第二天没空,留给我解决了
将程序拖入IDA,发现很多花指令,然后打开程序输入提供的username和serial,发现程序退出了,都还没调试就退出,看来是检测到了一些它不高兴的进程。
首先把花指令去掉吧,看它究竟做着什么神秘的事情。
经过大致的整理,基本就是上面的。
然后就是去反调试
基本就是上面的,还有一处在调试器里面patch一下就可以了。
需要注意的是这个地方,不能简单的patch掉
其中夹杂着后面需要调用的advapi32,应该是作者手工改的,我们手工改一改就行了
整体的检验函数大致如下
前半段算法大致是这样的 首先经过函数sub_402EE0转个十几万次的圈 -> 然后windows api加密一次 -> 再用改了的AES加密一手
下面说下怎么分析加密流程的
简单看了下402EE0,大致是这样的
计算的操作的都是加减法,异或之类的,应该可以解决,但是转圈圈的次数太多比较麻烦,后面再来分析
接着就来到windows api的地方
照着它的参数调用,然后去问一问度娘,就可以基本实现了,实现代码如下
继续往下面看
这处应该就是倒推,能将16个扩展32字节的地方
继续向下推
来到4033B0,进去看到这个地方
感觉像是密钥扩展
为了验证一下,上网随便搜了个代码把里面得SBOX改了下
最后确实发现是个改了SBOX的AES,因此只需求出逆盒就行了
实现算法如下
至此前半部分基本完了
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-12-6 15:27
被大帅锅编辑
,原因:
