很容易定位到程序的输入

输入长度为32，需要通过 sub_4014A0, sub_401580 的验证

4014A0 较为简单，是个经典的hexstr转成char存到 4041F0 这个地址，最后的16是计算转换后的长度，所以输入就是 [0-9A-F]{32}

随后将输入的前八字节存入 404000 中，剩下的部分传参进 sub_401580

要想让该函数返回1，需要先通过一组if验证

看一下使用的变量，应该是对前八字节的输入进行的验证

结合动调发现大概就是根据404000数组，构成一个 <value, index> 的结构，两两存放到404420当中

分析了一下404000数组的作用和特征，发现这个数组应该是构成一个环状的结构（以当前数值作为索引寻找下一个数），猜测不能有重复的数字，否则可能会构成小循环之类的，用脚本验证了一下发现后面248个数字果然没有重复，于是将前八字节的取值可能锁定到了 0x1e, 0x28, 0x4b, 0x6d, 0x8c, 0xa3, 0xd2, 0xfb 中，总共有 $8!=40320$ 种可能，完全可以爆破

把ida代码复制下来改一改

转换一下得到前八字节 B4D682C8BF2DE13A

确定前八字节后，只需要关注和参数（后八字节）有关的部分了，中间全部动调跳过

这一部分程序相较来说就简单了不少，主要是根据404000开头的八个字节作为初始值，每个字节单独与输入的八个字节进行运算，根据末尾bit决定是+1还是找索引，最终目的是凑成 GoodJob~ 这个字符串（sub_4024C0 是个字符串比较）

可以使用搜索算法求解，但考虑到每个字节是单独运算的，常规爆破也只需要 0x800 的运算量，所以还是直接爆破了

最后得到下半段验证码 D9B6AEF24A80CB22

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课