题目:给定一个EXE文件与一个动态链接库,猜出三个密钥
工具:IDA pro
一.KEY1解密:
经过审题,key1经过静态程序分析可得出,观察程序,在输入key1之前用到了数据段的unk_CBFA58,点开可到如下内容。
右键jump to operand
分析代码段loc_CB1120汇编语言,这个代码是用edi控制循环次数,对[ecx]中的内容进行减1操作,我们对数据段unk_CBFA58中的字符串string=“xipbsfzpv@”模拟string=string-1操作得到字符串“whoareyou?”,即key1。
二.KEY2与KEY3解密:
对汇编程序按F5得到对应的c语言程序。分析程序得到如下执行流:
由上图可以看出,要得到key2与key3,关键步骤是两次decode函数调用,跟踪这两次函数调用,记录其返回值,即可得到key2与key3。于是在两处函数调用处添加断点,断点位置如下:
对程序进行动态调试,压栈两个参数1和unk_21FA64后调用decode函数
decode函数执行完毕后查看寄存器EAX的值得到Key2,key2是iamteacher如图:
同理找到key3的断点,单步得到key是don'tjoke!
至此,所有答案已经找到。