close

這題其實破的有點技術犯規,因為前提是如果沒原檔對照就沒轍拉~

方法如下:

1.Orange.exe 是個大家都玩過的訓練集中力的小遊戲

   PEid載入

   

    會發現是個未知的殼,通常對付未知殼最簡單有效的方式就是F8跟蹤法(F8一步步往下,遇到往上的跳轉就在下一行F4繼續跟蹤)

    這樣稍微跟了一會,會看到這個跳轉

    Wargame

這樣就到OEP囉

Wargame 

直接Dump,沒StolenCode 也沒附加資料需要修正,可以直接執行。  

2.接下來的方法 聰明的孩子千萬別學XD  

   就是Google先去把原版的特訓99這個小遊戲抓下來

   然後 "開2個IDA 放左右2邊",使用人肉尋找每個Function的不同點

   很幸運的,在Function_403746 最下面會找到這麼一段Code

   3.bmp

這裡就是關鍵囉,可以看到是經過Xor 77777777去解碼的

接下來開OD實際動態跟一遍,

4.bmp  

使用改暫存器爆破法一路暴下去

5.bmp

跳向驗證後,會看到解碼關鍵是11111111 * 7 後 再做xor運算

6.bmp

Key存放在408494  可以DD 408494  F8慢慢跟,就會看到Key解出來了

 

Ps:這題出題者的本意是想在KeyDownEvent下條件斷點

然後Trace追蹤的,這麼暴力的解法出題者大概也沒想到吧XD

不過這也證明自己還不夠強,再利用1年時間精進  Hit2012再戰一回

 

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 殘月影 的頭像
    殘月影

    Rootkit --逆向工程技術--

    殘月影 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄