首先看见就是迷宫
迷宫解出的路径,放在zip的文件可以得到一个硬编码
然后在原程序中,有一处很离谱
这个debugbreak就是IDA分析错误导致的
我们点进去发现里面全是nop
然后我们把我们得到的硬编码放在010里面,再用IDA打开
重新编译看汇编
你可以发现
这一段和nop里面的最后两段一样的
——————重点知识——————
我们随便打开一个调用函数的汇编
发现都有类似这三段的操作
这是什么意思呢?
问了下我的师傅——
这是关于栈的操作,先将当前的栈记录一下,放在ebp里面
然后mov 保存一下当前栈的操作,最后对栈底进行操作,(因为栈是下面先出)
(不同位数的操作可能不一样,但是都是这个道理)
————————————————
那么我们看debugbreak那里,
他多了一个add(这是减去栈后,回复栈的操作,我们直接nop掉)
然后加上这两段的汇编 55 8b ec
IDA内部python patch一下
be = 0x00401A20
en = 0x00401A5E
a=[0x55,0x8b,0xec,0X90,0X83,0XEC,0X18,0X8B,0XCC,0X89,0XA5,0X48,0XFF,0XFF,0XFF,0X8D,0X95,0X74,
0XFF,0XFF,0XFF,0X52,0XE8,0X26,0X04,0X00,0X00,0XE8,0XD1,0XF9,0XFF,0XFF,0X83,
0XC4,0X18,0X88,0X85,0X67,0XFF,0XFF,0XFF,0X8A,0X85,0X67,0XFF,0XFF,0XFF,0X88,
0X85,0X73,0XFF,0XFF,0XFF,0X0F,0XB6,0X8D,0X73,0XFF,0XFF,0XFF,0X85,0XC9,
]
for i in range(be,en):
patch_byte(i,a[i-be])然后我们就可以看见正确的函数了
因为最后监测v13
我们直接跟进v13的sub401411
首先这个unknowwn函数,==24?一看就觉得是len
然后下面是一个四个一组的异或操作
这个sub肯定就是取数组了
像这种~ 就是释放空间的操作
retunrn v10, v10=v11
v11
有个函数
跟进去看一下
居然有数据!我们前面一直没拿到数据
姑且试一下,万一对了呢
a=[ 26, 0, 0, 0, 199, 69, 148,16, 0, 0, 0, 199, 69, 152, 0, 0, 0,0, 199, 69, 156, 67, 0, 0, 0, 199, 69,160, 12, 0, 0, 0, 199, 69, 164, 55, 0,0, 0, 199, 69, 168, 35, 0, 0, 0, 199,69, 172, 99, 0, 0, 0, 199, 69, 176, 97,0, 0, 0, 199, 69, 180, 64, 0, 0, 0,199, 69, 184, 5, 0, 0, 0, 199, 69, 188,100, 0, 0, 0, 199, 69, 192, 7, 0, 0,0, 199, 69, 196, 6, 0, 0, 0, 199, 69,200, 54, 0, 0, 0, 199, 69, 204, 81, 0,0, 0, 199, 69, 208, 55, 0, 0, 0, 199,69, 212, 53, 0, 0, 0, 199, 69, 216, 1,0, 0, 0, 199, 69, 220, 67, 0, 0, 0,199, 69, 224, 97, 0, 0, 0, 199, 69, 228,97, 0, 0, 0, 199, 69, 232, 92, 0, 0,0, 199, 69, 236, 125, 0, 0, 0]
b=[26, 16, 0, 67, 12, 55, 35, 99, 97, 64, 5, 100, 7, 6, 54, 81, 55, 53, 1, 67, 97, 97, 92, 125]
for i in range(0,24,4):b[i+2]=b[i+3]^b[i+2]b[i + 1] = b[i + 2] ^ b[i + 1]b[i] = b[i +1] ^ b[i]
for i in b:print(chr(i),end='')出了!
