护网杯 逆向-ReReRe Writeup

zhukai055

一、说明
自己技术比较菜，多谢jackson师傅 指点。
有什么不对的地方，还请各位师傅指点。 --Kaller

二、分析
windows 32bit 文件，控制台程序。
我们用CMD运行一下。

IDA代码：

(*(*Memorya + 104))(v7, v4);
(*(*Memorya + 112))();
(*(*Memorya + 108))(v7);

这三个是自定义结构，中的三个函数。
我们在OD定位。

第一个：

第二个：



这此，我们可以猜测，这是VM。
这其中都是 结构中的函数。
unk_404018 是流程表
我们先，把每一个Case 对应的函数，都标记一下。（这里可以用OD，也可以用地址计算。）


开始看this。
this[1-5]差不多是虚拟 寄存器
this[6] 输入字符串
this[9] 流程表




O：

这样左移，等于是把内存转成整数。this[8]=v4
U：

是一种判断 跳转。

T：赋值 R[x]=this[8]
……………… 后面有很多，这里就不细说了。



这三个函数，在流程函数中调用。
第一个：取R[x]的内容 ；x=字节的高位
第二个：取R[x]的内容 ；x=字节的低位
第三个：对R[x]赋值，x=字节的高位



我们看流程图吧。

第一段：

我们一步一步分析。
大概意思：

第二段：
这里面，有6次逻辑一样。换了数据。我分析成C代码


这是第一次的。

从字符串最后一位开始
for循环8次，每次*0x10 +instr
然后去跟数据对比


我用易语言写的方便一点。


文件： task_huwang-refinal-9.zip (6.26 KB, 下载次数: 32)

2018-10-14 17:32 上传

点击文件名下载附件

瑟瑟发抖小菜虾

向大佬低头！

stuffer

护网杯昨天难到不得不改变理论题的前置条件，不然大家太难看了

mosou

教程随你出  学会算我输

yssun

看不懂,膜拜。

gg5201314

看不懂,膜拜。

imtom123

好牛啊感谢楼主的详细分析

0531chuxin

不错啊啊啊啊啊啊