-
-
2023年初级逆向工程师面试题分析笔记 代码还原
-
2024-6-2 05:05
-
这是一年前的一个初级逆向面试题,题目比较简单,对于刚刚学习逆向的新手练习还是不错的
比较可恶的事情就是我做完了题目,告诉我需要去实地面试
MFC的程序,下面使用xspy进行定位按钮的代码 001429B0经过验证 这个就是按钮响应函数
经过分析,第三个push是要计算的值 也就是seed
第一个push是返回值 也就是key
上图的call dword ptr ds:[edx] 就是算法函数 下面就是算法函数的实现,可以发现它还有一个参数ecx
函数中有使用到ecx+4 ecx+8 ecx+c 这三个值是不固定的,需要寻找算法
通过多次调用算法函数发现ECX的值是固定的,使用内存写入断点即可定位到ecx的算法
下面是我进行还原的算法,本题是可以直接扣汇编的,由于题目要求,我还原为了C++代码
#include "stdafx.h"
#include "windows.h"
unsigned char ecx4 = 0;
unsigned char ecx8 = 0;
unsigned char ecxC[0x100] = { 0 };
void InitializeKey(unsigned int a2, unsigned int a3)
{
for (unsigned int i = 0; i < 0x100; i++)
{
ecxC[i] = i;
}
unsigned int var_4 = 0;
for (unsigned int i = 0; i < 0x100; i++)
{
unsigned char eax = (*(((unsigned char*)&a2) + (i % a3)) + var_4);
var_4 = (ecxC[i] + eax) % 256;
unsigned char Temp = ecxC[i];
ecxC[i] = ecxC[var_4];
ecxC[var_4] = Temp;
}
}
int ObtainingResults(unsigned int arg_0,unsigned int arg_4,unsigned char* arg_8)
{
int i = 0;
for (int i = 0; i < 4; i++)
{
ecx4 = (ecx4 + 1) % 256;;
ecx8 = (ecxC[ecx4] + ecx8) % 256;
unsigned char esiTemp = ecxC[ecx8];
ecxC[ecx8] = ecxC[ecx4];
ecxC[ecx4] = esiTemp;
unsigned char edx = (ecxC[ecx4] + ecxC[ecx8]) % 256;
arg_8[i] = *((unsigned char*)&arg_0 + i) ^ ecxC[edx];
}
return 0;
}
int main()
{
unsigned int nInput = 123;
InitializeKey(nInput,4);
unsigned char ret[4] = { 0 };
ObtainingResults(nInput,4,ret);
printf("%u\r\n",*(unsigned int*)ret);
system("pause");
return 0;
}
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2024-6-2 05:07
被旺仔_小可爱编辑
,原因:
|
|
|---|---|
|
|
前段时间,我也面试这家公司,一样的面试题.
|
|
|
我看了一下 他们已经不招聘了 最后活跃时间几个月前 |
|
|
|
|
|
那有可能是不同公司 用的一个题 |
|
|
|
|
|
|
|
|
不一定要内存断点,设硬件写入断点也能断下在密码表初始化的地方。不知道为啥我设内存断点就会报异常,硬件断点就不会 |
|
|
那请问硬件断点怎么下呢 ? 我的意思是怎么找到ecx初始化表算法 |
|
|
因为ecx是个固定值,密码表结果存在ecx+c的位置,你先找到ecx的值,往后加c个字节,就是存表的指针,存的是个内存地址,你在内存窗口跳到那个内存地址上,下硬件写入断点就能断下 |
|
|
还记得多年前面试了一个逆向岗位,也是一上来就发一个程序过来要你逆算法,然后我一看好家伙算法还是VM的,一看岗位工资2-3W
|
|
|
写的很详细
|
|
|
现在卷的厉害,动不动就是要求VM还原
|
|
|
道通科技。 |
|
|
道通现在都这么卷了? |
|
|
|
|
|
|
|
|
|
