【2019年6月第三周打卡】baby_anti_debug wp
压缩包:baby_anti_debug.exe用PEid分析exe,文件无加壳:
拖进IDA分析,找到_main函数,F5查看伪代码,框内为有用代码部分:
其中:
sub_4013C0("%s", &Str, 50);//读入输入的字符串Str
if ( sub_401000(&Str, "flag{") != &Str || v11 != '}' )//判断Str是否以"flag{"开头和"}"结尾,否则输出错误(sub_401340为printf函数)
sub_401340();
sub_401360(&Dst, &Src, 0x20u); //Src为字符串Str花括号中间值,复制到Dst(sub_401360为strncpy函数)
sub_4011F0(&Dst); //下面详述↓
sub_401270((int)&unk_4040C0, &Dst, (int)&v7); //下面详述↓
v5 = strcmp(&v7, a23gjf13au98hk3); //比较v7是否等于变量a23gjf13au98hk3,即"23gjf13au98hk3a1090zp8qjs41h39jp"
--------------------------------------------------------------------
sub_4011F0(&Dst);
点开函数内容为:char __cdecl sub_4011F0(char *a1)【a1为Dst】
{
char result; // al
char v2; // ST17_1
char *v3; //
signed int i; //
v3 = a1;
do
{
result = *v3;
v2 = *v3++;
}
while ( v2 ); 【do...while 循环将指针移到尾部】
if ( v3 - (a1 + 1) != 32 ) 【判断Dst长度是否等于32,否则输出错误】
sub_401340();
for ( i = 0; i < 32; ++i )
{
a1 ^= LOBYTE(dword_404040);【将Dst每一字符与dword_404040数组对应值异或得到新Dst】
result = i + 1;
}
return result;
}
----------------------------------------------------------
sub_401270((int)&unk_4040C0, &Dst, (int)&v7);
点开函数内容为:int __cdecl sub_401270(int a1, const char *a2, int a3)【a1为数组unk_4040C0,a2为上一步得到的Dst,a3为v7】
{
signed int v3; // kr00_4
int result; // eax
signed int v5; //
v5 = 0;
v3 = strlen(a2);
while ( v5 < v3 )【while循环遍历Dst】
{
*(_BYTE *)(a3 + *(_DWORD *)(a1 + 4 * v5)) = a2;【注意_BYTE为1字节,_DWORD为4字节,故相当于v3]=Dst】
++v5;
}
result = v5 + a3;
*(_BYTE *)(v5 + a3) = 0;
return result;
}
清楚逻辑后用python脚本还原原字符串:
得到结果:
页:
[1]