ctf.360.cn第二届,逆向部分writeup——第四题

题目:见附件

这题开始有些小复杂了。

运行程序,可以看见界面如下

注意看“隐藏信息完毕!”字符串的位置

直接搜索push 40405c,找到代码位置401a48。

网上翻找到代码块的入口地址4017a0。很显然这是一个非常长的函数,使用IDA进行静态分析。

  v2 = CreateFileA(*((LPCSTR *)v1 + 24), 0x80000000u, 1u, 0, 3u, 0x80u, 0);
  if ( v2 == (HANDLE)-1 )
  {
    result = CWnd::MessageBoxA(v1, &unk_4040D4, 0, 0);
  }
  else
  {
    v4 = CreateFileA(*((LPCSTR *)v1 + 26), 0x80000000u, 1u, 0, 3u, 0x80u, 0);
    hObject = v4;
    if ( v4 == (HANDLE)-1 )
    {
      result = CWnd::MessageBoxA(v1, &unk_4040BC, 0, 0);
    }
    else
    {
      v33 = CreateFileA(*((LPCSTR *)v1 + 25), 0x40000000u, 1u, 0, 2u, 0x80u, 0);
      if ( v33 == (HANDLE)-1 )
      {
        result = CWnd::MessageBoxA(v1, &unk_40409C, 0, 0);
      }
      else
      {
        SetFilePointer(v2, 2, 0, 0);
        ReadFile(v2, &Buffer, 4u, &NumberOfBytesWritten, 0);
        SetFilePointer(v2, 4, 0, 1u);
        ReadFile(v2, &v35, 4u, &NumberOfBytesWritten, 0);
        SetFilePointer(v2, 0, 0, 0);
        v5 = operator new(Buffer);
        lpBuffer = v5;
        ReadFile(v2, (LPVOID)v5, Buffer, &NumberOfBytesWritten, 0);
        v6 = (int)((char *)v5 + v35);
        v7 = GetFileSize(v4, 0);
        v31 = v7;
        v28 = operator new(v7);
        ReadFile(hObject, v28, v7, &NumberOfBytesWritten, 0);
        v8 = Buffer - v35 - 32;
        if ( 8 * v7 <= v8 )
        {
          v24 = v7;
          v9 = 16;
          do
          {
            LOWORD(v8) = *(_BYTE *)v6 & 1;
            v10 = v24 & 1;
            v8 ^= v10;
            if ( (_WORD)v8 )
            {
              v11 = (rand() & 1) == 0;
              v12 = *(_BYTE *)v6;
              if ( v11 )
                v13 = v12 - 1;
              else
                v13 = v12 + 1;
              *(_BYTE *)v6 = v13;
            }
            v24 >>= 1;
            ++v6;
            --v9;
          }
          while ( v9 );
          v14 = 16;
          v25 = v7 >> 16;
          do
          {
            LOWORD(v10) = *(_BYTE *)v6 & 1;
            v10 ^= v25 & 1;
            if ( (_WORD)v10 )
            {
              v11 = (rand() & 1) == 0;
              v15 = *(_BYTE *)v6;
              if ( v11 )
                v16 = v15 - 1;
              else
                v16 = v15 + 1;
              *(_BYTE *)v6 = v16;
            }
            LOWORD(v25) = (unsigned __int16)v25 >> 1;
            ++v6;
            --v14;
          }
          while ( v14 );
          v17 = 0;
          v26 = 0;
          if ( v7 )
          {
            do
            {
              v18 = 8;
              v19 = *((_BYTE *)v28 + v17);
              do
              {
                if ( (v19 ^ *(_BYTE *)v6) & 1 )
                {
                  v11 = (rand() & 1) == 0;
                  v20 = *(_BYTE *)v6;
                  if ( v11 )
                    v21 = v20 - 1;
                  else
                    v21 = v20 + 1;
                  *(_BYTE *)v6 = v21;
                }
                v19 >>= 1;
                ++v6;
                --v18;
              }
              while ( v18 );
              v17 = v26++ + 1;
            }
            while ( v26 < v31 );
          }
          v22 = lpBuffer;
          v23 = v33;
          WriteFile(v33, lpBuffer, Buffer, &NumberOfBytesWritten, 0);
          operator delete((void *)v22);
          operator delete(v28);
          CloseHandle(v2);
          CloseHandle(hObject);
          CloseHandle(v23);
          result = CWnd::MessageBoxA(v30, &unk_40405C, 0, 0);
        }
        else
        {
          result = CWnd::MessageBoxA(v30, &unk_40406C, "Caption", 0);
        }
      }
    }
  }
  return result;

要理解代码,首先要了解bmp文件的格式,可以参考http://www.cnblogs.com/kingmoon/archive/2011/04/18/2020097.html。

实际上,题目的算法是跳过bmp文件头和最前面的32字节的像素,然后每8个字节编码一个所要加密的明文字节。其中用每一个像素字节的最后一位来表示要加密的明文字节的响应位。

代码中+1、-1实际上就是当像素字节的最后一位与明文字节对应位不一致时,修正到相同。

所以知道了算法就知道如何解密:取出藏有密文的字节的最后一位,拼出相应的明文。

提取源代码就不贴了。

时间: 2024-12-20 00:03:34

ctf.360.cn第二届,逆向部分writeup——第四题的相关文章

ctf.360.cn第二届,逆向部分writeup——第五题

题目:见附件 这是最后一题,难度加倍. 看题目意思,应该是模拟一个下载者,从网上下载一个shellcode然后执行.要求修复这个shellcode然后获得key. OD载入MFC_ASM.exe,F9出现程序界面. 由于平时写C程序访问网络都直接用socket,找了一下竟然没有发现socket调用,看了导入表,发现原来使用wininet.dll提供的http封装. (这里不知道有没有更好的方法能让OD跟踪到button按钮的用户代码调用,还请大牛不吝赐教) 直接按button,出现错误: 此时的

ctf.360.cn第二届,逆向部分writeup——第二题

题目:见附件 这题目被提示的运行两次坑了. OD载入,设置命令行参数pass.db. F8到VirtualAlloc函数,发现size参数为0,导致函数调用失败. 根据pass.db长度,设置size=0x10,F8继续. 发现CreateFileA的FileName参数依然是pass.db,修改成pas1.db. F9正常运行,得到pas1.db文件. 实际上,这里pas1.db的内容已经是答案了,受到提示影响"patch掉bug后运行两次",所以得到pas2.db后,怎么提交都不对

ctf.360.cn第二届,逆向部分writeup——第三题

题目:见附件 这题目是最快搞定的,提示很明确 exe直接运行出错,OD打开后,发现入口点就是一个jmp F8,跟踪到jmp后的地址,发现了程序运行出错的原因. 实际上这个题目就是模拟病毒感染exe,修改文件入口指令,插入恶意代码的行为. 修补实际上就是找到真实的入口函数头的代码,将前面的jmp等指令nop掉.(修改OEP也行)

为了CTF比赛,如何学习逆向和反汇编?

作者:无名侠链接:https://www.zhihu.com/question/23810828/answer/138696052来源:知乎著作权归作者所有,转载请联系作者获得授权. 元旦节马上就要过去,赶紧趁着12点之前写完回答. ====如果觉得本文对你有用,请点个赞并关注一下我吧~==== 我做逆向大概四年左右,虽然我没有参加过CTF,但还是可以写一些关于如何学习逆向方面的内容~ 逆向实际上是很枯燥的工作,我能从枯燥中感到快乐,这就是支撑我学习逆向的动力了. 学习逆向后有什么用?难道就仅仅

浏览器被hao.360.cn劫持怎么办

特么的现在互联网太没节操了,一大早发现我的浏览器被hao.360.cn劫持了,弄了好久都没弄好,后来一想可能是因为qvod的原因,这可是哥当年看片的神器啊…… 废话不说: 1,进入:C:\ProgramData\QvodPlayer\QvodWebBase2,点开1.0.0.53(或者其它)文件夹3,直接删除里面的文件是删除不了的.更改QvodWebBase64.dll后缀名为QvodWebBase64.txt然后打开就没有了 会不会再出现情况,还需要再看……

桌面以及任务栏的所有浏览器,被加上了 hao.360.cn的网址

桌面以及任务栏的所有浏览器,被加上了hao.360.cn的网址 也不知道是安装了什么软件,中了360的招. 桌面以及任务栏的所有浏览器,被加上了hao.360.cn的网址. 这种东西,肯定是该死的360 周鸿祎或者及其走狗做的了. 修改方法: 1)桌面快捷方式,可以右键点击,选择属性. i) 常规 标签页,把只读属性去掉 ii) 快捷方式 标签页的[目标]里,把 http://hao.360.cn/?src=lm&ls=n4a2f6f3a91 的部分删除. 2)开始菜单 快捷方式 右键点击,然后

ISCC 2016 逆向部分 writeup

ISCC2016 逆向部分 by GoldsNow 做了这套题目感觉涨了不少的姿势..渣渣就只能够用渣渣的方法 题目下载 Help me 描述:I've got a difficult task and I can't solve it. I need your help! 思路:爆破 ELF64位的程序,直接在IDA中打开,可以看出来思路应该是比较清晰 先点进去main函数来进行分析. for ( i = 0; i <= 15; ++i ) { if ( !(v11 & 1) ) ++v5

第二届TSCTF比赛writeup及心得-Web

1. 送分题 一开始真没明白为什么叫送分题,后来明白了,泪流满面..我只想说,查看源码这个事情一辈子都不能忘. 还是推荐以后都用这个,就不会漏了 2.Do you know time 网页显示一张福利图片,下载下来,随便用二进制打开图片,翻到最后面,发现了代码,种子确定了,srand就没意义了,种子是由time()函数确定的,发到服务器上总要一点时间,所以我们用time()+30的时间做种子,然后运行程序,就差不多能撞到服务器上的time()的时间. 但是一开始死活没找到入口,我还以为有什么信息

实验吧逆向catalyst-system Writeup

下载之后查看知道为ELF文件,linux中执行之后发现很慢: 拖入ida中查看发现有循环调用 sleep 函数: 这是已经改过了,edit -> patch program -> change byte 修改一下比较参数可以去除等待时间,总共去除两处: 运行之后发现是输入 username 和 passsword 的方式: 那么问题就在两者上面了. 反编译之后查看源码,v8对应username, v7为password. 点进第一个函数,在 return 中是对用户名的判断,易推断出用户名为