这是我做reverse的题解。在咱逆向之路上的mark一下,,水平有限,大牛见笑。
题目及题解链接:http://pan.baidu.com/s/1gd3k2RL
宗女齐姜
果然是仅仅有50分的难度,OD直接找到了flag.
找到杀手
这题用OD做非常麻烦。我改用IDA了。又是秒破
将图中字符串输入,程序生成了四张扑克牌图片。题目让依据密文判断。就4个字符串,一个一个试最多4次就出来了,哈哈
避难母国
这题挺有意思的,总共要经过13次听取建议,太麻烦,在第一次是Andy后,以后都用改变寄存器状态的方式跳过剩下的环节。最后程序打印出flag。
流亡齐国
用不成OD了,用Reflector得到关键函数的源代码
但是我不会C#啊,找到精通C#的同学得到解密函数,并取得了flag.
何去何从
这题貌似简单。事实上就是简单,当然做出来了就感觉简单,事实上有一个陷阱,仅仅要发现了就OK了。
这道题非常有诱惑性,按正常的思路非常快就得到了一个flag-like的家伙。
是vc 6.0的程序,非常easy就找到了main函数
进入后
当中的凝视是所有做完后的凝视。第一遍时非常正常的跳过了当中凝视为“不能调”、“这才是关键”的那部分代码,进入了凝视为“关键进入”的函数,
这个函数首先经过0x13次的循环生成“(3q^;^3lfjq&D7V4Hhd”,然后与输入的字符串比較。相等则显示“是这个么”,不等则显示“错了”。似乎flag已经找到了,真对不起200分的价值是不是?,但是提交时却发现不对,难道要对这个字符串做什么变换么?仅仅能回去再细致看看程序了。
又到了这一步,按程序的意思是。jnz是一定会跳的,可是里边的两个函数有什么用呢,于是决定进去看看,强制改了跳转。F8跳过第二个函数后,程序打印出
,于是进去看看。
到了这一步,
再跟进去瞧瞧,
这和之前生成的那个0x13长的伪flag的生成算法是一样的。执行完后在内存中找到这个字符串“(3q&vf2vw%f7Vj9Ookj”,这个就是FLAG了!
逃离临淄
执行程序如图
在程序函数中找到了GetWindowTextA函数,下断点,
在编辑框中随便输入点东西后点“注冊”。到断点
调用两次这个函数。得到注冊名和注冊码。存在0x18CD98和0x18CDB8处
在下图这个函数中会对注冊码进行变形
进入后
004016C0 /$ 8B5424 04 mov edx,dword ptrss:[esp+0x4]
004016C4 |. 57 push edi
004016C5 |. 8BFA mov edi,edx
004016C7 |. 83C9 FF or ecx,0xFFFFFFFF
004016CA |. 33C0 xor eax,eax
004016CC |. F2:AE repne scas byte ptres:[edi]
004016CE |. F7D1 not ecx
004016D0 |. 49 dec ecx
004016D1 |. 83F9 1F cmp ecx,0x1F 推断长度是否为0x1f
004016D4 |. 7406 je XCrackMe?004016DC
004016D6 |. 32C0 xor al,al
004016D8 |. 5F pop edi
004016D9 |. C20800 retn 0x8
004016DC |> 8B4424 0C mov eax,dword ptrss:[esp+0xC]
004016E0 |. 53 push ebx
004016E1 |. 56 push esi
004016E2 |. 8BF2 mov esi,edx
004016E4 |. 8BC8 mov ecx,eax
004016E6 |. 2BF0 sub esi,eax
004016E8 |. BF1F000000 mov edi,0x1F
004016ED |> 8A040E /mov al,byte ptrds:[esi+ecx]
004016F0 |. 3C30 |cmp al,0x30
004016F2 |. 7C17 |jl XCrackMe?
0040170B
004016F4 |. 3C39 |cmp al,0x39
004016F6 |. 7F13 |jg XCrackMe?
0040170B
004016F8 |. 0FBEC0 |movsx eax,al
004016FB |. 83E8 2B |sub eax,0x2B
004016FE |. BB0A000000 |mov ebx,0xA
00401703 |. 99 |cdq
00401704 |. F7FB |idiv ebx
00401706 |. 80C2 30 |add dl,0x30
00401709 |. EB34 |jmp XCrackMe?0040173F (数字-2B)/ A 取余
0040170B |> 3C 41 |cmp al,0x41
0040170D |. 7C17 |jl XCrackMe?00401726
0040170F |. 3C5A |cmp al,0x5A
00401711 |. 7F13 |jg XCrackMe?00401726
00401713 |. 0FBEC0 |movsx eax,al
00401716 |. 83E8 34 |sub eax,0x34
00401719 |. BB1A000000 |mov ebx,0x1A
0040171E |. 99 |cdq
0040171F |. F7FB |idiv ebx
00401721 |. 80C2 41 |add dl,0x41
00401724 |. EB19 |jmp XCrackMe?
0040173F (大写-0x34) / 1A 取余
00401726 |> 3C 61 |cmp al,0x61
00401728 |. 7C17 |jl XCrackMe?
00401741
0040172A |. 3C7A |cmp al,0x7A
0040172C |. 7F13 |jg XCrackMe?00401741
0040172E |. 0FBEC0 |movsx eax,al
00401731 |. 83E8 54 |sub eax,0x54
00401734 |. BB1A000000 |mov ebx,0x1A
00401739 |. 99 |cdq
0040173A |. F7FB |idiv ebx
0040173C |. 80C2 61 |add dl,0x61 (小写-0x54) / 1A 取余
0040173F |> 8AC2 |mov al,dl
00401741 |> 8801 |mov byte ptrds:[ecx],al
00401743 |. 41 |inc ecx
00401744 |. 4F |dec edi
00401745 |.^ 75 A6 \jnz XCrackMe?004016ED
00401747 |. 5E pop esi
00401748 |. 5B pop ebx
00401749 |. B001 mov al,0x1
0040174B |. 5F pop edi
0040174C \. C20800 retn 0x8
跳出这个函数后
下面都是对变形后的字符串进行的推断。
推断了三位。
再然后
是对后十位的比較,将后十位变成整形后与EDI比較。edi由下图函数得到
还好这个结果与后十位的内容无关。
当一切判定条件都通过后,就来到最后弹出对话框的地方。
这个注冊码vscc11-695356-695356-6494939865是2014年8月1日过期
这个注冊码是2015年八月1日到期 vscc11-695356-605356-6456326018
咱如今的逆向水平也就仅仅能做到这了,剩下的题希望能从大牛那里得到经验。也算从这次比赛得到的最大收获了。