這題其實破的有點技術犯規,因為前提是如果沒原檔對照就沒轍拉~
方法如下:
1.Orange.exe 是個大家都玩過的訓練集中力的小遊戲
PEid載入
會發現是個未知的殼,通常對付未知殼最簡單有效的方式就是F8跟蹤法(F8一步步往下,遇到往上的跳轉就在下一行F4繼續跟蹤)
這樣稍微跟了一會,會看到這個跳轉
這樣就到OEP囉
直接Dump,沒StolenCode 也沒附加資料需要修正,可以直接執行。
2.接下來的方法 聰明的孩子千萬別學XD
就是Google先去把原版的特訓99這個小遊戲抓下來
然後 "開2個IDA 放左右2邊",使用人肉尋找每個Function的不同點
很幸運的,在Function_403746 最下面會找到這麼一段Code
這裡就是關鍵囉,可以看到是經過Xor 77777777去解碼的
接下來開OD實際動態跟一遍,
使用改暫存器爆破法一路暴下去
跳向驗證後,會看到解碼關鍵是11111111 * 7 後 再做xor運算
Key存放在408494 可以DD 408494 F8慢慢跟,就會看到Key解出來了
Ps:這題出題者的本意是想在KeyDownEvent下條件斷點
然後Trace追蹤的,這麼暴力的解法出題者大概也沒想到吧XD
不過這也證明自己還不夠強,再利用1年時間精進 Hit2012再戰一回
沒有留言:
張貼留言