这个题目中有很多花指令来混淆我们的代码.
这里以 main 函数中的混肴为例子,介绍怎么去花指令,然后让 ida 重新能将这个函数识别出来。
首先我们可以看到这里有一个 jb loc_413b94 + 3 的指令,这个指令说明 loc_413b94 处有一段花指令,真正的代码要到 loc_413b94 + 3 处才开始。
右键这个位置,然后点击 undefine
然后我们将真正跳转到的地方,设置为 code 类型
但是这样就算让 ida 认识出来哪些是花指令还不够,因为出题人很鸡贼,这个地方跳转用的 jz,ida 会以为下面那坨花指令会被执行。但是我们可以看到跳转指令上方还有个 xor eax, eax 的指令,这个指令会将 eax 清零,所以这个 jz 指令是一定会跳转走的。我们这里用 ida 的 patch 功能将 jz 改为 jmp 就能让 ida 真的意识到下面一段代码是花指令。
接下来我们用 keypatch 插件修改跳转指令
keypatch 这个插件应该在 52pojie 官方那里下载的 IDA 应该是自带的,如果没有的话可以去 52pojie 官方下载一个
如此这般,将所有的花指令去除了以后,就可以开始调试了。
接下来,我们可以看到有 3 个加密函数
其中前两个是用的面向对象写法,调用了两个对象的虚函数,因为虚函数只能在运行的时候才能知道执行了啥(C++ 多态的知识),所以前两个加密函数用动态调试就能知道是啥了。
第三个加密函数应该是最简单的,就是把数字的二进制反过来,然后再加 1。
第二个加密函数虽然比较复杂,写出对应的逆向代码不难。
主要是第一个加密函数最阴间,因为有不止一种可能。所以这里采用的是暴力破解的方法。输出每一个字节有哪些可能性。然后在这些可能性中找到一个能够满足条件的就行了。
// Enc1 int tmp_result; for (int i = 0; i < 32; i++) { bool find_v3 = false; for (int v3 = 0; v3 < 128; v3++) { int result; if ((v3 - 61) <= 0x3Eu) { result = v3; int v7 = v3 + 13; if (v3 > 90) { if (v7 <= 122) tmp_result = v3 + 13; else tmp_result = v3 - 13; } else { result = -13; if (v7 <= 90) result = 13; result = v3 + result; tmp_result = result; } }
if (tmp_result == arr[i] && check(v3)) { find_v3 = true; cout << (char)v3; } } if (!find_v3) { cout << (char)arr[i]; } cout << " "; }
运行结果是这样的。假如说某个字节有多种可能性就会一块输出,然后一眼丁真,flag 是 SYC{Y3S-yE5-y0u-S0Ve-Th3-C9P!!!}
可以看到这个是正确 flag 捏
完整的代码:
#include <iostream>using namespace std;
unsigned int dec3(unsigned int a1) { unsigned int a2 = 8; a1--;
unsigned int v2; // edx unsigned int v3; // edi unsigned int v4; // ebx
v2 = 0; v3 = 0; if (a2 > 0) { v4 = a2 - 1; do v2 |= ((a1 >> v3++) & 1) << v4--; while (v3 < a2); } return v2;}
unsigned int arr[] = {0x22, 0x0FFFFFFA2, 0x72, 0x0FFFFFFE6, 0x52, 0x0FFFFFF8C, 0x0FFFFFFF2, 0x0FFFFFFD4, 0x0FFFFFFA6, 0x0A, 0x3C, 0x24, 0x0FFFFFFA6, 0x0FFFFFF9C, 0x0FFFFFF86, 0x24, 0x42, 0x0FFFFFFD4, 0x22, 0x0FFFFFFB6, 0x14, 0x42, 0x0FFFFFFCE, 0x0FFFFFFAC, 0x14, 0x6A, 0x2C, 0x7C, 0x0FFFFFFE4, 0x0FFFFFFE4, 0x0FFFFFFE4, 0x1E};
void dec2(unsigned int *arr) { int v6[] = {0, 1, 0, 1, 0, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 1, 0, 0, 0, 0, 0, 0, 1, 1, 0, 1, 0, 0, 1, 1, 1, 0};
int index = 0; unsigned int result; do { if (index <= 16) { if (index >= 16) { arr[index] ^= 4; } else { result = v6[index]; if (result) { if (!--result) arr[index] ^= 9; } else { arr[index] += 2; } } } else { result = v6[index]; if (result) { if (!--result) arr[index] ^= 6; } else { arr[index] += 5; } } ++index; } while (arr[index]);}
int check(int c) { if ((c >= 'a' && c <= 'z') (c >= 'A' && c <= 'Z') (c >= '0' && c <= '9') c == '{' c == '}' || c == '_') { return true; } return false;}
int main() { // Enc3 for (int i = 0; i < 32; i++) { arr[i] ^= 1; arr[i] = dec3(arr[i]); }
// Enc2 dec2(arr);
// Enc1 int tmp_result; for (int i = 0; i < 32; i++) { bool find_v3 = false; for (int v3 = 0; v3 < 128; v3++) { int result; if ((v3 - 61) <= 0x3Eu) { result = v3; int v7 = v3 + 13; if (v3 > 90) { if (v7 <= 122) tmp_result = v3 + 13; else tmp_result = v3 - 13; } else { result = -13; if (v7 <= 90) result = 13; result = v3 + result; tmp_result = result; } }
if (tmp_result == arr[i] && check(v3)) { find_v3 = true; cout << (char)v3; } } if (!find_v3) { cout << (char)arr[i]; } cout << " "; }
return 0;}