20170916 時長36h

Re : EasyHook

運行

運行

ida載入 查看main?

main

判斷出需要輸入19位

OD載入 搜字符串找到程序文字部分

向下翻，結合題目名稱與main函數內容想到可能是WriteFile時hook

00401322? |.? FF15 00904000 call dword ptr ds:[<&KERNEL32.WriteFile>>; \WriteFile

這里下斷點，輸入19位字符，程序被斷下，我們想看看具體操作，F7步入，這時發現

7C810E17 >- E9 6402BF83? ? jmp hook.00401080

再次F7步入，發現兩個調用

call

對第一個下段，繼續步入，

復雜的計算

看到進行計算了，起始地址401000

進IDA，找到地址，F5

ida 401000

找到操作的對象，byte_40a030

數據

分析算法，寫出py求解

ord()? ? //返回單字符在ASCII中對應的整數

chr() ? ?//與ord相反

str.join(sequence)? ? //join() 方法用于將序列中的元素以指定的字符連接生成一個新的字符串

以下：

buf = [ord(i) for i in '616A79676B466D2E7F5F7E2D53567B386D4C6E00'.decode('hex')]

buf[18] ^= 0x13

for i in range(17, -1, -1):

? ? ? v3 = i ^ buf[i]

? ? ?if i % 2:

? ? ? ? ? buf[i] = v3 + i

? ? ?else:

? ? ? ? ? buf[i+2] = v3

print ''.join(chr(i) for i in buf)

OK

Re : babyRE

跑起來看字符串

ida打開，看main

main

找字符串，發現了輸入長度比較：0xe即14，而且調用judge()，點進去查看

發現ida報錯 ?： ?judge? ? ? ? ? endp ; sp-analysis failed

換工具gdb ? ?調試 linux x64 利器 ：首先在調用處下段

b *0x400686 ? //gdb下段

r ? ?//跑起來，輸入14位字符

disas 0x600b00 ? ?//judge反匯編

0x0000000000600b00 <+0>:pushrbp

0x0000000000600b01 <+1>:movrbp,rsp

//將調用函數的棧幀棧底指針壓入，即將rbp寄存器的值壓入調用棧中；建立新的棧幀，將被調函數的棧幀棧底地址(rsp)放入rbp寄存器中

0x0000000000600b04 <+4>:movQWORD PTR [rbp-0x28],rdi

//傳入輸入參數

0x0000000000600b08 <+8>:movBYTE PTR [rbp-0x20],0x66

0x0000000000600b0c <+12>:movBYTE PTR [rbp-0x1f],0x6d

0x0000000000600b10 <+16>:movBYTE PTR [rbp-0x1e],0x63

0x0000000000600b14 <+20>:movBYTE PTR [rbp-0x1d],0x64

0x0000000000600b18 <+24>:movBYTE PTR [rbp-0x1c],0x7f

0x0000000000600b1c <+28>:movBYTE PTR [rbp-0x1b],0x6b

0x0000000000600b20 <+32>:movBYTE PTR [rbp-0x1a],0x37

0x0000000000600b24 <+36>:movBYTE PTR [rbp-0x19],0x64

0x0000000000600b28 <+40>:movBYTE PTR [rbp-0x18],0x3b

0x0000000000600b2c <+44>:movBYTE PTR [rbp-0x17],0x56

0x0000000000600b30 <+48>:movBYTE PTR [rbp-0x16],0x60

0x0000000000600b34 <+52>:movBYTE PTR [rbp-0x15],0x3b

0x0000000000600b38 <+56>:movBYTE PTR [rbp-0x14],0x6e

0x0000000000600b3c <+60>:movBYTE PTR [rbp-0x13],0x70

0x0000000000600b40 <+64>:movDWORD PTR [rbp-0x4],0x0

//寫入內存[rbp-0x4]=0

0x0000000000600b47 <+71>:jmp0x600b71 //循環

0x0000000000600b49 <+73>:moveax,DWORD PTR [rbp-0x4] //eax=0

0x0000000000600b4c <+76>:movsxdrdx,eax//rdx=0

0x0000000000600b4f <+79>:movrax,QWORD PTR [rbp-0x28]

//取輸入字符串地址rax=key[0]

0x0000000000600b53 <+83>:addrax,rdx//rax=key[0+0]

0x0000000000600b56<+86>:movedx,DWORD PTR [rbp-0x4] //edx=0

0x0000000000600b59 <+89>:movsxdrcx,edx//rcx=0

0x0000000000600b5c <+92>:movrdx,QWORD PTR [rbp-0x28]

//取參數rdx=key[0]

0x0000000000600b60 <+96>:addrdx,rcx//rdx=key[0+0]

0x0000000000600b63<+99>:movzxedx,BYTE PTR [rdx]// edx=rdx

0x0000000000600b66<+102>:movecx,DWORD PTR [rbp-0x4]//ecx=0

0x0000000000600b69 <+105>:xoredx,ecx//異或操作

0x0000000000600b6b <+107>:movBYTE PTR [rax],dl

//rax=dl存儲異或結果

0x0000000000600b6d <+109>:addDWORD PTR [rbp-0x4],0x1//累加

0x0000000000600b71 <+113>:cmpDWORD PTR [rbp-0x4],0xd

0x0000000000600b75 <+117>:jle0x600b49

0x0000000000600b77 <+119>:movDWORD PTR [rbp-0x4],0x0

//寫入內存[rbp-0x4]=0

0x0000000000600b7e <+126>:jmp0x600ba9

0x0000000000600b80 <+128>:moveax,DWORDPTR [rbp-0x4]//eax=0

0x0000000000600b83 <+131>:movsxdrdx,eax

0x0000000000600b86 <+134>:movrax,QWORD PTR [rbp-0x28]

0x0000000000600b8a <+138>:addrax,rdx

0x0000000000600b8d <+141>:movzxedx,BYTE PTR [rax]

0x0000000000600b90 <+144>:moveax,DWORD PTR [rbp-0x4]

0x0000000000600b93 <+147>:cdqe

0x0000000000600b95 <+149>:movzxeax,BYTE PTR [rbp+rax*1-0x20]

0x0000000000600b9a <+154>:cmpdl,al//寄存器低八位

0x0000000000600b9c <+156>:je0x600ba5 //成功跳轉

0x0000000000600b9e <+158>:moveax,0x0

0x0000000000600ba3 <+163>:jmp0x600bb4

0x0000000000600ba5 <+165>:addDWORD PTR [rbp-0x4],0x1

0x0000000000600ba9 <+169>:cmpDWORD PTR [rbp-0x4],0xd

0x0000000000600bad <+173>:jle0x600b80

0x0000000000600baf <+175>:moveax,0x1

0x0000000000600bb4 <+180>:poprbp

0x0000000000600bb5 <+181>:ret

可寫出偽c（算法部分）：

void judge(char input[],int num)

{

int i = 0;

while(i <= num)

{

*(input[0]+i) ^= i;

i++;

}

}

寫出解密腳本：

buf = [ord(i) for i in '666d63647f6b37643b56603b6e70'.decode('hex')]

for i in range(0, 14, 1):

buf[i] ^= i

print ''.join(chr(i) for i in buf)

一些x64寄存器基礎：

X86-64中，所有寄存器都是64位，相對32位的x86來說，標識符發生了變化，比如：從原來的%ebp變成了%rbp。為了向后兼容性，%ebp依然可以使用，不過指向了%rbp的低32位。

X86-64寄存器的變化，不僅體現在位數上，更加體現在寄存器數量上。新增加寄存器%r8到%r15。加上x86的原有8個，一共16個寄存器。

剛剛說到，寄存器集成在CPU上，存取速度比存儲器快好幾個數量級，寄存器多了，GCC就可以更多的使用寄存器，替換之前的存儲器堆棧使用，從而大大提升性能。

讓寄存器為己所用，就得了解它們的用途，這些用途都涉及函數調用，X86-64有16個64位寄存器，分別是：%rax，%rbx，%rcx，%rdx，%esi，%edi，%rbp，%rsp，%r8，%r9，%r10，%r11，%r12，%r13，%r14，%r15。其中：

%rax 作為函數返回值使用。

%rsp 棧指針寄存器，指向棧頂

%rdi，%rsi，%rdx，%rcx，%r8，%r9 用作函數參數，依次對應第1參數，第2參數。。。

%rbx，%rbp，%r12，%r13，%14，%15 用作數據存儲，遵循被調用者使用規則，簡單說就是隨便用，調用子函數之前要備份它，以防他被修改

%r10，%r11 用作數據存儲，遵循調用者使用規則，簡單說就是使用之前要先保存原值