这道题给了3g的附件，超出了PE大小上限

[64 bit - what is the maximum size of a PE file on 64-bit Windows? - Stack Overflow]

程序不能运行，程序存在大量的smc操作，需要输入正确的输入(8字节)，然后计算出key参与到smc的运算中，然后call到smc之后的代码，如此循环往复。

同一个附件分为三关：

第一关将所有的解拼出来PNG，flag在PNG里。

采用angr+unicorn的方案，angr求解输入，unicorn去跑smc

经过我的不断优化，跑出第一关的图片用时间:

从5.5h→1.5h→26min, 速度实现质的飞跃

一共有三种约束：

LUT[input[i]] == num

LUT[index] = (index + 13) % 256

位运算

直接判断

其中2、3使用angr都可以秒解

LUT我开了unicorn, 在explore使用指定avoid地址，把求解的函数切片，指定backend 为 blob , 避免每次都load 3Gb的文件。在我的i7-14650HX , 主频为2.2GHz上，求解需要20s。这个速度在求解第一关还行，倒是到了第二关就捉襟见肘了。因此还需要继续优化。

于是对LUT的情况添加静态求解的部分：

这样对99%的LUT的都可以秒解，并没有处理存在AND的情况，处理AND的情况需要模拟一个简单的污点传播，有点小麻烦，再加上这种情况很少，索性就退回到angr求解。

angr部分代码：

几个注意的点：

只load一次，完成section映射。

只hook一次，测试表明不重载uc, 代码会越跑越慢。

这样的好处是快了，但是代码段大小很大，跑着跑着代码就崩了，报memory unmap的错误，这里我觉得就是申请空间太大了，实际上没有申请到这段内存。

但是可以大力出奇迹， 写个bat脚本重新运行，程序就可以照常运行。

unicorn部分的代码：

flag{kitty_kitty_on_the_wall_439xb8q@}

第二关将所有的解拼出来MP4，flag在MP4里。

第二关主要考察速度，前面我们已经优化的足够好了。

第二关相较于第一关，添加了rc4加密，只需要添加求解部分就可以了

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！