20170916 时长36h

Re : EasyHook

运行

运行

ida载入 查看main 

main

判断出需要输入19位

OD载入 搜字符串找到程序文字部分

向下翻，结合题目名称与main函数内容想到可能是WriteFile时hook

00401322  |.  FF15 00904000 call dword ptr ds:[<&KERNEL32.WriteFile>>; \WriteFile

这里下断点，输入19位字符，程序被断下，我们想看看具体操作，F7步入，这时发现

7C810E17 >- E9 6402BF83    jmp hook.00401080

再次F7步入，发现两个调用

call

对第一个下段，继续步入，

复杂的计算

看到进行计算了，起始地址401000

进IDA，找到地址，F5

ida 401000

找到操作的对象，byte_40a030

数据

分析算法，写出py求解

ord()    //返回单字符在ASCII中对应的整数

chr()    //与ord相反

str.join(sequence)    //join() 方法用于将序列中的元素以指定的字符连接生成一个新的字符串

以下：

buf = [ord(i) for i in '616A79676B466D2E7F5F7E2D53567B386D4C6E00'.decode('hex')]

buf[18] ^= 0x13

for i in range(17, -1, -1):

      v3 = i ^ buf[i]

     if i % 2:

          buf[i] = v3 + i

     else:

          buf[i+2] = v3

print ''.join(chr(i) for i in buf)

OK

Re : babyRE

跑起来看字符串

ida打开，看main

main

找字符串，发现了输入长度比较：0xe即14，而且调用judge()，点进去查看

发现ida报错  ：  judge          endp ; sp-analysis failed

换工具gdb    调试 linux x64 利器 ：首先在调用处下段

b *0x400686   //gdb下段

r    //跑起来，输入14位字符

disas 0x600b00    //judge反汇编

0x0000000000600b00 <+0>:pushrbp

0x0000000000600b01 <+1>:movrbp,rsp

//将调用函数的栈帧栈底指针压入，即将rbp寄存器的值压入调用栈中；建立新的栈帧，将被调函数的栈帧栈底地址(rsp)放入rbp寄存器中

0x0000000000600b04 <+4>:movQWORD PTR [rbp-0x28],rdi

//传入输入参数

0x0000000000600b08 <+8>:movBYTE PTR [rbp-0x20],0x66

0x0000000000600b0c <+12>:movBYTE PTR [rbp-0x1f],0x6d

0x0000000000600b10 <+16>:movBYTE PTR [rbp-0x1e],0x63

0x0000000000600b14 <+20>:movBYTE PTR [rbp-0x1d],0x64

0x0000000000600b18 <+24>:movBYTE PTR [rbp-0x1c],0x7f

0x0000000000600b1c <+28>:movBYTE PTR [rbp-0x1b],0x6b

0x0000000000600b20 <+32>:movBYTE PTR [rbp-0x1a],0x37

0x0000000000600b24 <+36>:movBYTE PTR [rbp-0x19],0x64

0x0000000000600b28 <+40>:movBYTE PTR [rbp-0x18],0x3b

0x0000000000600b2c <+44>:movBYTE PTR [rbp-0x17],0x56

0x0000000000600b30 <+48>:movBYTE PTR [rbp-0x16],0x60

0x0000000000600b34 <+52>:movBYTE PTR [rbp-0x15],0x3b

0x0000000000600b38 <+56>:movBYTE PTR [rbp-0x14],0x6e

0x0000000000600b3c <+60>:movBYTE PTR [rbp-0x13],0x70

0x0000000000600b40 <+64>:movDWORD PTR [rbp-0x4],0x0

//写入内存[rbp-0x4]=0

0x0000000000600b47 <+71>:jmp0x600b71 //循环

0x0000000000600b49 <+73>:moveax,DWORD PTR [rbp-0x4] //eax=0

0x0000000000600b4c <+76>:movsxdrdx,eax//rdx=0

0x0000000000600b4f <+79>:movrax,QWORD PTR [rbp-0x28]

//取输入字符串地址rax=key[0]

0x0000000000600b53 <+83>:addrax,rdx//rax=key[0+0]

0x0000000000600b56<+86>:movedx,DWORD PTR [rbp-0x4] //edx=0

0x0000000000600b59 <+89>:movsxdrcx,edx//rcx=0

0x0000000000600b5c <+92>:movrdx,QWORD PTR [rbp-0x28]

//取参数rdx=key[0]

0x0000000000600b60 <+96>:addrdx,rcx//rdx=key[0+0]

0x0000000000600b63<+99>:movzxedx,BYTE PTR [rdx]// edx=rdx

0x0000000000600b66<+102>:movecx,DWORD PTR [rbp-0x4]//ecx=0

0x0000000000600b69 <+105>:xoredx,ecx//异或操作

0x0000000000600b6b <+107>:movBYTE PTR [rax],dl

//rax=dl存储异或结果

0x0000000000600b6d <+109>:addDWORD PTR [rbp-0x4],0x1//累加

0x0000000000600b71 <+113>:cmpDWORD PTR [rbp-0x4],0xd

0x0000000000600b75 <+117>:jle0x600b49

0x0000000000600b77 <+119>:movDWORD PTR [rbp-0x4],0x0

//写入内存[rbp-0x4]=0

0x0000000000600b7e <+126>:jmp0x600ba9

0x0000000000600b80 <+128>:moveax,DWORDPTR [rbp-0x4]//eax=0

0x0000000000600b83 <+131>:movsxdrdx,eax

0x0000000000600b86 <+134>:movrax,QWORD PTR [rbp-0x28]

0x0000000000600b8a <+138>:addrax,rdx

0x0000000000600b8d <+141>:movzxedx,BYTE PTR [rax]

0x0000000000600b90 <+144>:moveax,DWORD PTR [rbp-0x4]

0x0000000000600b93 <+147>:cdqe

0x0000000000600b95 <+149>:movzxeax,BYTE PTR [rbp+rax*1-0x20]

0x0000000000600b9a <+154>:cmpdl,al//寄存器低八位

0x0000000000600b9c <+156>:je0x600ba5 //成功跳转

0x0000000000600b9e <+158>:moveax,0x0

0x0000000000600ba3 <+163>:jmp0x600bb4

0x0000000000600ba5 <+165>:addDWORD PTR [rbp-0x4],0x1

0x0000000000600ba9 <+169>:cmpDWORD PTR [rbp-0x4],0xd

0x0000000000600bad <+173>:jle0x600b80

0x0000000000600baf <+175>:moveax,0x1

0x0000000000600bb4 <+180>:poprbp

0x0000000000600bb5 <+181>:ret

可写出伪c（算法部分）：

void judge(char input[],int num)

{

int i = 0;

while(i <= num)

{

*(input[0]+i) ^= i;

i++;

}

}

写出解密脚本：

buf = [ord(i) for i in '666d63647f6b37643b56603b6e70'.decode('hex')]

for i in range(0, 14, 1):

buf[i] ^= i

print ''.join(chr(i) for i in buf)

一些x64寄存器基础：

X86-64中，所有寄存器都是64位，相对32位的x86来说，标识符发生了变化，比如：从原来的%ebp变成了%rbp。为了向后兼容性，%ebp依然可以使用，不过指向了%rbp的低32位。

X86-64寄存器的变化，不仅体现在位数上，更加体现在寄存器数量上。新增加寄存器%r8到%r15。加上x86的原有8个，一共16个寄存器。

刚刚说到，寄存器集成在CPU上，存取速度比存储器快好几个数量级，寄存器多了，GCC就可以更多的使用寄存器，替换之前的存储器堆栈使用，从而大大提升性能。

让寄存器为己所用，就得了解它们的用途，这些用途都涉及函数调用，X86-64有16个64位寄存器，分别是：%rax，%rbx，%rcx，%rdx，%esi，%edi，%rbp，%rsp，%r8，%r9，%r10，%r11，%r12，%r13，%r14，%r15。其中：

%rax 作为函数返回值使用。

%rsp 栈指针寄存器，指向栈顶

%rdi，%rsi，%rdx，%rcx，%r8，%r9 用作函数参数，依次对应第1参数，第2参数。。。

%rbx，%rbp，%r12，%r13，%14，%15 用作数据存储，遵循被调用者使用规则，简单说就是随便用，调用子函数之前要备份它，以防他被修改

%r10，%r11 用作数据存储，遵循调用者使用规则，简单说就是使用之前要先保存原值