[De1CTF2019]REVERSE的Re_Sign

muyilin

[De1CTF2019]REVERSE的Re_Sign

.
.
照例下载附件，扔到 exeinfope 中查看信息（PS：附件在最后）：

.
.
提示 UPX 壳，但是好像无法使用 UPX -D 来脱壳：

.
.
那么先尝试一下手动脱壳，扔入 OD 中，利用 ESP 脱壳定律：

.
.
然后嘛~脱壳后导入表乱了，用 ImportREC 修复也修复不了，(我曾想着自己修复，但还是太年轻了 ~  ^ ~)：
然后经友人推荐使用了 UpxUnpacker.exe ，直接脱壳且能运行！不得不说这个几百KB的工具真的专业，希望以后能有机会了解其什么逻辑！

.
.
照例先运行下程序，查看主要回显信息：

.
.
然后后面就开始动调了，那什么时候要动调呢？
我觉得是你看不懂小段代码，或者没法看函数内嵌套多层函数的大量代码，这时候只能用动调的结果和不断变换输入来猜想逻辑了。

.
.
后面就是一种逆向思想的直觉了，你得知道他大致考什么，以及你想要什么~
我输入的是 flag{1111} ，看到可疑的 HefBHzofEP4fCU== 密文，但是传统 base64 加密应该是 ZmxhZ3sxMTExfQ==，所以如果有这种逆向思想，应该要想到是变表加密，那么进一步的，我们要找到变表。

有目的性得动调真的很重要，这题代码成百上千行，一个个看会看傻的。
.
.
然后就是这次动调感触骤深，总结了以下几点：
1：一般的 IDA 动调中要反汇编和 F5 伪编译一起看，因为很多值 F5 伪编译中是不会显示或者显示不准的，要从汇编代码中才能看到精确值：

.
.
2：既然 IDA F5伪编译不太靠得住，反正都要看汇编，OD的汇编动态真的能显示很多关键字符！更直观，更适合捕抓数据！

.
.
现在需要的变表捕抓到了，现在我们看一下师傅们有逆向思维的做法：

.
.
前面变表找到后先告一段落，后面来看看要比较的数据：

.
.
那么我们梳理一下，用户输入----->变表加密----->变表密文在传统表单的下标：
一开始我想了好一会，如果变表加密的 E，在传统表单中下标是 4，那不还是 E 嘛？那直接把要比较的数据用变表解密不就行了？一开始我还想着映射中转一下再解密，果然还是对映射密码理解得不透彻。

address=0x6c1848
list=[]
for i in range(48):
    list.append(Dword(address+i*4))
print(list)  

.
.
常规解密即可：

.
.
解毕！
敬礼！

fuwenwen

新手入门，感谢分享

菀坪之恋

学习了，感谢