Autel 道通逆向面试题

BeneficialWeb

这是朋友最近面试的一道题，他逆完说给我玩一下，于是有了这篇文章。
初看是个MFC的程序，找到控件ID,字符串信息等，上IDA


找到对话框过程函数，发现并没有找到有用的信息，只是处理了窗口初始化消息


换个思路，SetWindowTextW下断，通过栈回溯找到了操作控件ID的地方，但是只是设置


还是找GetWindowTextW下条件断点吧，结果还是回溯到了这个函数。看来和传统的Win32程序的窗口过程函数有所不同。
通过OD的动态跟踪发现了获取Seed的调用


动静结合发现他获取字符串后转换为了数字，保存在esi指向的buffer里

于是想到下一个内存访问断点，看看会断在哪里。第一次断下发现不是关键位置，只是判断了数字范围




第二次断下，可以看见异或操作，应该是了，IDA里看了一下，发现F5效果不好，直接OD看反汇编吧


运算完后，ebx指向buffer里面的内容是0x8C31ED6A

通过对比发现，确实是key



关键函数，已经定位。开始仔细分析。

这里是生成key的地方，这里IDA看着不是很清楚，在OD里看汇编动态调试，








当我逆完后，发现作者对table的表根据输入的seed进行了变化，非固定的table, 一开始没注意到，只好再跟一下。

内存断点，重新下断，跟踪到了生成表的位置


总结：
       这道面试题的算法主要是根据输入seed生成了table, 再生成了key.算法简单，未使用算法库，属于自实现的算法。

[C++] 纯文本查看 复制代码

// AutelTest.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

// 545677251
byte table[] = {
                0x02, 0x03, 0x87, 0x00, 0xd8, 0x58, 0x3f, 0xa9, 0x43, 0x29, 0x2b, 0xb0, 0xda, 0x21, 0x5e, 0x9d,
                0x7f, 0x90, 0xa2, 0xb5, 0x26, 0x89, 0x96, 0xbf, 0x19, 0x31, 0xb8, 0x6b, 0x22, 0x92, 0xbe, 0xca,
                0xec, 0x9e, 0x18, 0x84, 0xcf, 0x2a, 0x46, 0xcd, 0xf7, 0xfb, 0xd7, 0x94, 0x7e, 0x30, 0xd9, 0x04,
                0x55, 0xf2, 0x2e, 0x34, 0xb7, 0x40, 0xa0, 0x0d, 0x93, 0x9a, 0x14, 0x5c, 0x10, 0xc6, 0xc7, 0x24,
                0x48, 0x75, 0xc5, 0x25, 0x2d, 0x66, 0xd1, 0x98, 0x0b, 0x13, 0xc8, 0xe2, 0x67, 0xbc, 0x1c, 0xd0,
                0xfd, 0x0a, 0x72, 0xd6, 0x4b, 0xce, 0x73, 0x70, 0xdc, 0xad, 0x3d, 0x15, 0xc0, 0xc9, 0xa8, 0x7b,
                0x06, 0x4e, 0x35, 0x01, 0x68, 0x27, 0xe5, 0xf0, 0xb2, 0x52, 0x79, 0x0c, 0x36, 0x0f, 0xf4, 0x1e,
                0x51, 0x23, 0xae, 0x42, 0x39, 0x4f, 0x99, 0x56, 0x47, 0x85, 0x6e, 0x86, 0xdd, 0xd5, 0xa3, 0xdf,
                0x3c, 0xc3, 0x1f, 0x0e, 0x8b, 0xf5, 0x44, 0x65, 0x8c, 0xd2, 0x5b, 0x91, 0x37, 0x8f, 0x76, 0xe7,
                0xfa, 0x07, 0x5d, 0x6f, 0x4a, 0xe9, 0xe8, 0xea, 0xf3, 0x8a, 0xcc, 0xd4, 0x60, 0x6d, 0x97, 0x3b,
                0xa7, 0x5f, 0x7d, 0x49, 0x2c, 0x16, 0xb9, 0xb4, 0x9b, 0x5a, 0xb1, 0xde, 0x32, 0x08, 0xef, 0x59,
                0xd3, 0x1b, 0xe1, 0xeb, 0x2f, 0xa4, 0x17, 0x81, 0xed, 0xbd, 0xe3, 0x69, 0x12, 0xba, 0xc2, 0xa5,
                0x41, 0xfc, 0xab, 0x20, 0xaf, 0xcb, 0x64, 0xa1, 0xb3, 0x8d, 0xe4, 0xa6, 0x05, 0x63, 0xf6, 0x78,
                0x83, 0xac, 0x62, 0x3e, 0x6c, 0xaa, 0xc4, 0x80, 0xb6, 0x77, 0x4c, 0x1d, 0x8e, 0xff, 0x61, 0xc1,
                0x1a, 0x4d, 0x9f, 0x71, 0x38, 0xe6, 0xfe, 0x82, 0xee, 0xf9, 0x88, 0x50, 0xe0, 0x54, 0x7c, 0x9c,
                0xf8, 0x3a, 0x45, 0xf1, 0xdb, 0x09, 0x28, 0x7a, 0xbb, 0x53, 0x11, 0x57, 0x95, 0x33, 0x74, 0x6a};

class MyClass {
public:
        int _index1 = 0;
        int _index2 = 0;
};

int main() {
        int i = 0;
        byte key[4];
        byte seed[4] = { 0,1,2,3 };
        int p1 = 0, p2 = 0;
        byte tmp;
        MyClass myclass;

        scanf_s("%d", seed);
        memset(table, 0, sizeof(table));
        do {
                table[i] = i;
                i++;
        } while (i<256);
        int j = 0, k = 0;

        i = 0;
        do {
                j = (k + seed[i % 4] + table[i]) % 256;
                tmp = table[i];
                table[i++] = table[j];
                k = j;
                table[j] = tmp;
        } while (i < 256);

        for (i = 0; i < 4; i++) {
                p1 = (myclass._index1 + 1) & 0xFF;
                myclass._index1 = p1;
                p2 = (table[p1] + myclass._index2) & 0xFF;
                myclass._index2 = p2;
                tmp = table[p2];
                table[p2] = table[p1];
                table[p1] = tmp;
                key[i] = seed[i] ^ table[(table[myclass._index1] + table[myclass._index2]) % 256];
        }
        printf("%u\n",*(DWORD64*)key);
        system("pause");
}

测试结果


AutelTest.zip (1.73 MB, 下载次数: 49)

2020-6-15 15:03 上传

点击文件名下载附件

hcw0909

// ConsoleApplication2.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include<Windows.h>
using namespace std;



DWORD Autelkey(BYTE* seed)
{
        BYTE key[4] = {};
        BYTE array[0x100] = {};
        for (size_t i = 0; i < 0x100; i++)
        {
                array[i] = (BYTE)i;
        }
        BYTE v11 = 0;
        for (size_t i = 0; i < 0x100; i++)
        {
                BYTE v7 = (v11 + seed[i % 4] + array[i]) % 0x100;
                BYTE v8 = array[i];
                array[i] = array[v7];
                v11 = v7;
                array[v7] = v8;
        }
        BYTE field_4 = 0;
        BYTE field_8 = 0;
        for (size_t i = 0; i < 4; i++)
        {
                BYTE v6 = field_4 + 1;
                field_4 = v6;
                BYTE* v7 = array + v6;
                BYTE v8 = (field_8 + array[v6]) & 0xFF;
                BYTE* v9 = array + v8;
                field_8 = v8;
                v8 = array[v8];
                BYTE v5 = *v7;
                *v7 = v8;
                *v9 = v5;
                key[i] = seed[i] ^ array[(array[field_4] + array[field_8]) % 0x100];
        }

        return *(DWORD*)&key;
}


int main()
{
        while (true)
        {
                DWORD seed = 0;
                cin >> seed;
                DWORD key = Autelkey((BYTE*)&seed);
                cout << key << endl;
        }

}

// 运行程序: Ctrl + F5 或调试 >“开始执行(不调试)”菜单
// 调试程序: F5 或调试 >“开始调试”菜单

// 入门使用技巧:
//   1. 使用解决方案资源管理器窗口添加/管理文件
//   2. 使用团队资源管理器窗口连接到源代码管理
//   3. 使用输出窗口查看生成输出和其他消息
//   4. 使用错误列表窗口查看错误
//   5. 转到“项目”>“添加新项”以创建新的代码文件，或转到“项目”>“添加现有项”以将现有代码文件添加到项目
//   6. 将来，若要再次打开此项目，请转到“文件”>“打开”>“项目”并选择 .sln 文件

小鑫_技术

没这么复杂...

uint Crypto::Calc(const uint input)
{
        uint output = 0;
        uint index = 0;
        uchar last_key_index = 0;

        GenerateKey(input);

        for (size_t i = 0; i < sizeof(output); i++)
        {
                ++index;
                last_key_index += m_key[index];
                std::swap(m_key[index], m_key[last_key_index]);
                ((puchar)&output)[i] = (((puchar)&input)[i]);
                ((puchar)&output)[i] ^= m_key[(m_key[index] + m_key[last_key_index]) % 0x100];
        }

        return output;
}


void Crypto::GenerateKey(const uint input)
{
        uint index = 0;

        ZeroMemory(m_key, sizeof(m_key));

        for (size_t i = 0; i < sizeof(m_key); i++)
        {
                m_key[i] = i & 0xFF;
        }

        for (size_t i = 0; i < sizeof(m_key); i++)
        {
                index += (((puchar)&input)[i % sizeof(input)]) + m_key[i];
                index %= 0x100;
                std::swap(m_key[i], m_key[index]);
        }
}

十面埋伏

帮大神顶顶

2dx3906

学习了，之前做过，卡在table上了

运维穷屌丝

虽然看不懂，向大佬学习

Eric-Fox

大佬牛皮

姚小宝

看起来像RC4加密

IBinary

大佬 发下给我们玩一下呀

BeneficialWeb

q2510908331 发表于 2020-6-15 09:05
大佬 发下给我们玩一下呀

Ok!附件已上传.

IBinary

谢了. 已下载,有时间看看.哈哈.

cmputer

这个table不需要初始化啊