看雪论坛
发新帖
3

[原创]第六题

EricAzhe 2017-6-13 10:57 3288

1、识别乱序和花指令:

      乱序指令:B       xxxxx

      花指令有两种:

                   a:        PUSH.W          {R4-R10,LR}
                                POP.W           {R4-R10,LR}

                  
                   b:          PUSH            {R0,R4,R5,R7,LR}

                                xxxxxxx

                                POP.W           {R0,R4,R5,R7,LR}

      知道特征后就可以写idc脚本进处理这些指令,然后得到正常的指令,脚本如下:

#include <idc.idc>
extern g_baseAddr;
extern g_addr;
extern g_startAddr;
extern g_endAddr;
extern g_nop;
extern g_patch;

//恢复指主函数
static  GetJmpType(addr,type)
{
    auto result = 0;
    auto callAddr,r0,pc = 0;
    auto funName = 0;
    auto instructions = "";
    auto instructionsAddr,instructionsSize;
    auto tmpType = type;

    if (g_endAddr >= addr && addr >= g_startAddr)
    {
        instructionsAddr = addr;    
        MakeCode((instructionsAddr & 0xFFFFFFFE));    
        instructions = GetDisasm(instructionsAddr);
        //Message("%X:    %s\n",instructionsAddr,instructions);
        if(instructions == "NOP")
        {
            result = instructionsAddr + 2;
        }
        else if(instructions == "PUSH.W          {R4-R10,LR}")
        {
            if (g_patch==1)PatchWord(instructionsAddr,g_nop);
            MakeCode((instructionsAddr & 0xFFFFFFFE)); 
            //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr)); 
            if (g_patch==1)PatchWord(instructionsAddr+2,g_nop);
            MakeCode(((instructionsAddr+2) & 0xFFFFFFFE));     
            //Message("%X:    %s\n",instructionsAddr+2,GetDisasm(instructionsAddr+2));    
            result = instructionsAddr + 4;                     
        }
        else if(instructions == "POP.W           {R4-R10,LR}")
        {
            if (g_patch==1)PatchWord(instructionsAddr,g_nop);  
            MakeCode((instructionsAddr & 0xFFFFFFFE)); 
            //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr));       
            if (g_patch==1)PatchWord(instructionsAddr+2,g_nop);  
            MakeCode(((instructionsAddr+2) & 0xFFFFFFFE));      
            //Message("%X:    %s\n",instructionsAddr+2,GetDisasm(instructionsAddr+2)); 
            result = instructionsAddr + 4;           
        }
        else if(instructions == "PUSH            {R0,R4,R5,R7,LR}")
        {
            if (g_patch==1)PatchWord(instructionsAddr,g_nop);   
            MakeCode((instructionsAddr & 0xFFFFFFFE)); 
            //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr)); 
            result = instructionsAddr + 2;
            result = GetJmpType(result,1);              
        }
        else if(instructions == "POP.W           {R0,R4,R5,R7,LR}")
        {
            if (g_patch==1)PatchWord(instructionsAddr,g_nop);   
            MakeCode((instructionsAddr & 0xFFFFFFFE)); 
            //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr)); 
            if (g_patch==1)PatchWord(instructionsAddr+2,g_nop);  
            MakeCode(((instructionsAddr+2) & 0xFFFFFFFE));      
            //Message("%X:    %s\n",instructionsAddr+2,GetDisasm(instructionsAddr+2)); 
            result = instructionsAddr + 4;   
            result = GetJmpType(result,0);               
        }
        else if(substr(instructions,0,19) == "B               loc")
        {
            //Message("%X:    %s\n",instructionsAddr,instructions);
            instructionsAddr = xtol(substr(instructions,strstr(instructions,"loc_")+4,-1));
            result = instructionsAddr;
            if (type == 1)
            {
                result = GetJmpType(result,1);
            }
        }
        else if(substr(instructions,0,19) == "B               sub")
        {
            //Message("%X:    %s\n",instructionsAddr,instructions);
            instructionsAddr = xtol(substr(instructions,strstr(instructions,"sub_")+4,-1));
            result = instructionsAddr;
            if (type == 1)
            {
                result = GetJmpType(result,1);
            }
        }
        else if(instructions == "ADD.W           R1, R1, #1")
        {
            if (GetDisasm(instructionsAddr+4) == "SUB.W           R1, R1, #1")
            {
                if (g_patch==1)PatchWord(instructionsAddr,g_nop);   
                MakeCode((instructionsAddr & 0xFFFFFFFE)); 
                //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr)); 
                if (g_patch==1)PatchWord(instructionsAddr+2,g_nop);  
                MakeCode(((instructionsAddr+2) & 0xFFFFFFFE));      
                //Message("%X:    %s\n",instructionsAddr+2,GetDisasm(instructionsAddr+2)); 
                if (g_patch==1)PatchWord(instructionsAddr+4,g_nop);  
                MakeCode(((instructionsAddr+4) & 0xFFFFFFFE));      
                //Message("%X:    %s\n",instructionsAddr+4,GetDisasm(instructionsAddr+4)); 
                if (g_patch==1)PatchWord(instructionsAddr+6,g_nop);  
                MakeCode(((instructionsAddr+6) & 0xFFFFFFFE));      
                //Message("%X:    %s\n",instructionsAddr+6,GetDisasm(instructionsAddr+6)); 
                result = instructionsAddr + 8;    
            }
        }
        else
        {
            if (type == 1)
            {
                if (ItemSize(instructionsAddr)==2)
                {
                    if (g_patch==1)PatchWord(instructionsAddr,g_nop);   
                    MakeCode((instructionsAddr & 0xFFFFFFFE));
                    //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr)); 
                    result = instructionsAddr + 2; 
                }
                else if (ItemSize(addr)==4)
                {
                    if (g_patch==1)PatchWord(instructionsAddr,g_nop);   
                    MakeCode((instructionsAddr & 0xFFFFFFFE));
                    //Message("%X:    %s\n",instructionsAddr,GetDisasm(instructionsAddr));  
                    if (g_patch==1)PatchWord(instructionsAddr+2,g_nop);   
                    MakeCode(((instructionsAddr+2) & 0xFFFFFFFE));
                    //Message("%X:    %s\n",instructionsAddr+2,GetDisasm(instructionsAddr+2));    
                    result = instructionsAddr + 4;  
                }                                   
                result = GetJmpType(result,1);
            }
            else
            {
                Message("%X:    %s\n",instructionsAddr,instructions);
                result = addr + ItemSize(instructionsAddr);
                if (instructions == "POPEQ.W         {R4-R10,PC}")result = 0;
                if (instructions == "POPEQ.W         {R4-R9,PC}")result = 0;
                if (instructions == "POP.W           {R4-R9,PC}")result = 0;
                if (instructions == "POP.W           {R4-R11,PC}")result = 0;
                if (instructions == "POPEQ.W         {R4-R8,PC}")result = 0;
            }
        } 
    }
    else
    {
        //pc = GetRegValue("PC");
        Message("finish\n");
    }     
    return result;
}

static main(void)
{
    auto i;
    auto pc;
    auto addr = 0;
    auto count = 10000;
    g_startAddr = 0;
    g_endAddr = 0;
    g_nop = 0xBF00;
    //pc = GetRegValue("PC");
    g_baseAddr = 0x1980;//SegStart( pc );
    g_startAddr = g_baseAddr;
    g_endAddr = g_baseAddr + 0x1D1E4;
    g_patch = 0;
    Message("g_baseAddr: %X \n",g_baseAddr);
    addr = 0x2874;
    for (i = 0; i < count; i++)
    {
        addr = GetJmpType(addr,0);
        if (addr == 0)break;
    } 
}

2、算法如下:

unsigned char g_table[1024] = {
    0xB7, 0x00, 0x00, 0x00, 0x6B, 0x00, 0x00, 0x00, 0xA6, 0x00, 0x00, 0x00, 0xDC, 0x00, 0x00, 0x00, 
    0x11, 0x00, 0x00, 0x00, 0x5B, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00, 0x5A, 0x00, 0x00, 0x00, 
    0x78, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x74, 0x00, 0x00, 0x00, 0xB2, 0x00, 0x00, 0x00, 
    0x43, 0x00, 0x00, 0x00, 0x30, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0xBE, 0x00, 0x00, 0x00, 
    0xED, 0x00, 0x00, 0x00, 0x26, 0x00, 0x00, 0x00, 0x09, 0x00, 0x00, 0x00, 0xC7, 0x00, 0x00, 0x00, 
    0x31, 0x00, 0x00, 0x00, 0x45, 0x00, 0x00, 0x00, 0xCE, 0x00, 0x00, 0x00, 0xCF, 0x00, 0x00, 0x00, 
    0x91, 0x00, 0x00, 0x00, 0x70, 0x00, 0x00, 0x00, 0xC6, 0x00, 0x00, 0x00, 0xB1, 0x00, 0x00, 0x00, 
    0x5E, 0x00, 0x00, 0x00, 0x61, 0x00, 0x00, 0x00, 0x55, 0x00, 0x00, 0x00, 0x15, 0x00, 0x00, 0x00, 
    0xBD, 0x00, 0x00, 0x00, 0x1A, 0x00, 0x00, 0x00, 0x4B, 0x00, 0x00, 0x00, 0xC5, 0x00, 0x00, 0x00, 
    0xF6, 0x00, 0x00, 0x00, 0x22, 0x00, 0x00, 0x00, 0xA2, 0x00, 0x00, 0x00, 0x72, 0x00, 0x00, 0x00, 
    0xFF, 0x00, 0x00, 0x00, 0x42, 0x00, 0x00, 0x00, 0xF3, 0x00, 0x00, 0x00, 0x6A, 0x00, 0x00, 0x00, 
    0x8F, 0x00, 0x00, 0x00, 0x87, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0xDF, 0x00, 0x00, 0x00, 
    0x6F, 0x00, 0x00, 0x00, 0xB0, 0x00, 0x00, 0x00, 0xBA, 0x00, 0x00, 0x00, 0xA4, 0x00, 0x00, 0x00, 
    0x85, 0x00, 0x00, 0x00, 0xEA, 0x00, 0x00, 0x00, 0x8E, 0x00, 0x00, 0x00, 0x32, 0x00, 0x00, 0x00, 
    0xA1, 0x00, 0x00, 0x00, 0x2D, 0x00, 0x00, 0x00, 0xEF, 0x00, 0x00, 0x00, 0xAA, 0x00, 0x00, 0x00, 
    0xE3, 0x00, 0x00, 0x00, 0xA3, 0x00, 0x00, 0x00, 0xBF, 0x00, 0x00, 0x00, 0x2C, 0x00, 0x00, 0x00, 
    0xE0, 0x00, 0x00, 0x00, 0x47, 0x00, 0x00, 0x00, 0x3D, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00, 
    0xB9, 0x00, 0x00, 0x00, 0xCC, 0x00, 0x00, 0x00, 0x7D, 0x00, 0x00, 0x00, 0x7F, 0x00, 0x00, 0x00, 
    0x6D, 0x00, 0x00, 0x00, 0x7A, 0x00, 0x00, 0x00, 0x12, 0x00, 0x00, 0x00, 0x1C, 0x00, 0x00, 0x00, 
    0xDB, 0x00, 0x00, 0x00, 0x94, 0x00, 0x00, 0x00, 0xFC, 0x00, 0x00, 0x00, 0xC0, 0x00, 0x00, 0x00, 
    0xAF, 0x00, 0x00, 0x00, 0x0C, 0x00, 0x00, 0x00, 0x62, 0x00, 0x00, 0x00, 0x14, 0x00, 0x00, 0x00, 
    0x59, 0x00, 0x00, 0x00, 0x24, 0x00, 0x00, 0x00, 0xE8, 0x00, 0x00, 0x00, 0x4C, 0x00, 0x00, 0x00, 
    0xCB, 0x00, 0x00, 0x00, 0xCD, 0x00, 0x00, 0x00, 0x60, 0x00, 0x00, 0x00, 0x39, 0x00, 0x00, 0x00, 
    0xC9, 0x00, 0x00, 0x00, 0x3A, 0x00, 0x00, 0x00, 0x98, 0x00, 0x00, 0x00, 0x77, 0x00, 0x00, 0x00, 
    0xE2, 0x00, 0x00, 0x00, 0xAB, 0x00, 0x00, 0x00, 0xB8, 0x00, 0x00, 0x00, 0xD7, 0x00, 0x00, 0x00, 
    0x3C, 0x00, 0x00, 0x00, 0x69, 0x00, 0x00, 0x00, 0x53, 0x00, 0x00, 0x00, 0x1F, 0x00, 0x00, 0x00, 
    0xCA, 0x00, 0x00, 0x00, 0x88, 0x00, 0x00, 0x00, 0x51, 0x00, 0x00, 0x00, 0x4D, 0x00, 0x00, 0x00, 
    0x8A, 0x00, 0x00, 0x00, 0x36, 0x00, 0x00, 0x00, 0xE7, 0x00, 0x00, 0x00, 0xAE, 0x00, 0x00, 0x00, 
    0xD2, 0x00, 0x00, 0x00, 0xD1, 0x00, 0x00, 0x00, 0xFB, 0x00, 0x00, 0x00, 0x8B, 0x00, 0x00, 0x00, 
    0x5D, 0x00, 0x00, 0x00, 0x0D, 0x00, 0x00, 0x00, 0xA8, 0x00, 0x00, 0x00, 0x8D, 0x00, 0x00, 0x00, 
    0x0A, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x82, 0x00, 0x00, 0x00, 0xD4, 0x00, 0x00, 0x00, 
    0x0E, 0x00, 0x00, 0x00, 0x2F, 0x00, 0x00, 0x00, 0x57, 0x00, 0x00, 0x00, 0x5C, 0x00, 0x00, 0x00, 
    0x20, 0x00, 0x00, 0x00, 0x3E, 0x00, 0x00, 0x00, 0xD0, 0x00, 0x00, 0x00, 0xB6, 0x00, 0x00, 0x00, 
    0xBC, 0x00, 0x00, 0x00, 0x33, 0x00, 0x00, 0x00, 0x4E, 0x00, 0x00, 0x00, 0x90, 0x00, 0x00, 0x00, 
    0x17, 0x00, 0x00, 0x00, 0xF2, 0x00, 0x00, 0x00, 0xB5, 0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 
    0x79, 0x00, 0x00, 0x00, 0x99, 0x00, 0x00, 0x00, 0x2B, 0x00, 0x00, 0x00, 0xFD, 0x00, 0x00, 0x00, 
    0xAD, 0x00, 0x00, 0x00, 0xA5, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x16, 0x00, 0x00, 0x00, 
    0x40, 0x00, 0x00, 0x00, 0x3B, 0x00, 0x00, 0x00, 0x07, 0x00, 0x00, 0x00, 0x9E, 0x00, 0x00, 0x00, 
    0xDD, 0x00, 0x00, 0x00, 0x48, 0x00, 0x00, 0x00, 0x2E, 0x00, 0x00, 0x00, 0x25, 0x00, 0x00, 0x00, 
    0x27, 0x00, 0x00, 0x00, 0xA7, 0x00, 0x00, 0x00, 0x89, 0x00, 0x00, 0x00, 0xF9, 0x00, 0x00, 0x00, 
    0x95, 0x00, 0x00, 0x00, 0x68, 0x00, 0x00, 0x00, 0x1B, 0x00, 0x00, 0x00, 0x6E, 0x00, 0x00, 0x00, 
    0x84, 0x00, 0x00, 0x00, 0xF7, 0x00, 0x00, 0x00, 0xC4, 0x00, 0x00, 0x00, 0xC8, 0x00, 0x00, 0x00, 
    0x71, 0x00, 0x00, 0x00, 0x6C, 0x00, 0x00, 0x00, 0x86, 0x00, 0x00, 0x00, 0x29, 0x00, 0x00, 0x00, 
    0xB3, 0x00, 0x00, 0x00, 0xEC, 0x00, 0x00, 0x00, 0x92, 0x00, 0x00, 0x00, 0x80, 0x00, 0x00, 0x00, 
    0x4F, 0x00, 0x00, 0x00, 0x41, 0x00, 0x00, 0x00, 0xB4, 0x00, 0x00, 0x00, 0xD8, 0x00, 0x00, 0x00, 
    0x58, 0x00, 0x00, 0x00, 0x1D, 0x00, 0x00, 0x00, 0xD6, 0x00, 0x00, 0x00, 0x44, 0x00, 0x00, 0x00, 
    0x49, 0x00, 0x00, 0x00, 0x81, 0x00, 0x00, 0x00, 0x3F, 0x00, 0x00, 0x00, 0x67, 0x00, 0x00, 0x00, 
    0x96, 0x00, 0x00, 0x00, 0x35, 0x00, 0x00, 0x00, 0xAC, 0x00, 0x00, 0x00, 0x21, 0x00, 0x00, 0x00, 
    0xE9, 0x00, 0x00, 0x00, 0x64, 0x00, 0x00, 0x00, 0x56, 0x00, 0x00, 0x00, 0x19, 0x00, 0x00, 0x00, 
    0x9B, 0x00, 0x00, 0x00, 0xD9, 0x00, 0x00, 0x00, 0xC3, 0x00, 0x00, 0x00, 0xBB, 0x00, 0x00, 0x00, 
    0x4A, 0x00, 0x00, 0x00, 0xD3, 0x00, 0x00, 0x00, 0xE6, 0x00, 0x00, 0x00, 0xE4, 0x00, 0x00, 0x00, 
    0x9D, 0x00, 0x00, 0x00, 0xD5, 0x00, 0x00, 0x00, 0x8C, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00, 
    0x83, 0x00, 0x00, 0x00, 0x7C, 0x00, 0x00, 0x00, 0x9C, 0x00, 0x00, 0x00, 0xC1, 0x00, 0x00, 0x00, 
    0xFA, 0x00, 0x00, 0x00, 0x93, 0x00, 0x00, 0x00, 0x97, 0x00, 0x00, 0x00, 0x76, 0x00, 0x00, 0x00, 
    0xDA, 0x00, 0x00, 0x00, 0x38, 0x00, 0x00, 0x00, 0x73, 0x00, 0x00, 0x00, 0x18, 0x00, 0x00, 0x00, 
    0x28, 0x00, 0x00, 0x00, 0x13, 0x00, 0x00, 0x00, 0xF4, 0x00, 0x00, 0x00, 0x0F, 0x00, 0x00, 0x00, 
    0x23, 0x00, 0x00, 0x00, 0x52, 0x00, 0x00, 0x00, 0x9A, 0x00, 0x00, 0x00, 0x7B, 0x00, 0x00, 0x00, 
    0xA9, 0x00, 0x00, 0x00, 0xF8, 0x00, 0x00, 0x00, 0x9F, 0x00, 0x00, 0x00, 0x50, 0x00, 0x00, 0x00, 
    0x65, 0x00, 0x00, 0x00, 0xF1, 0x00, 0x00, 0x00, 0x34, 0x00, 0x00, 0x00, 0xEE, 0x00, 0x00, 0x00, 
    0xA0, 0x00, 0x00, 0x00, 0x37, 0x00, 0x00, 0x00, 0x46, 0x00, 0x00, 0x00, 0xE5, 0x00, 0x00, 0x00, 
    0x5F, 0x00, 0x00, 0x00, 0x75, 0x00, 0x00, 0x00, 0x7E, 0x00, 0x00, 0x00, 0xC2, 0x00, 0x00, 0x00, 
    0xEB, 0x00, 0x00, 0x00, 0x66, 0x00, 0x00, 0x00, 0xDE, 0x00, 0x00, 0x00, 0xFE, 0x00, 0x00, 0x00, 
    0xF5, 0x00, 0x00, 0x00, 0x0B, 0x00, 0x00, 0x00, 0x2A, 0x00, 0x00, 0x00, 0xF0, 0x00, 0x00, 0x00, 
    0x63, 0x00, 0x00, 0x00, 0xE1, 0x00, 0x00, 0x00, 0x1E, 0x00, 0x00, 0x00, 0x54, 0x00, 0x00, 0x00
}; //通过19931012算出来的,具体算法没仔细看,直接扣内存

int _tmain(int argc, _TCHAR* argv[])
{
    char szDes[260]={0};
    int len = Base64_Decode(szDes,(char*)"JPyjup3eCyJjlkV6DmSmGHQ",sizeof("JPyjup3eCyJjlkV6DmSmGHQ"));
    unsigned char t = 0;
    unsigned char s = 0;
    unsigned int sum = 0;
    unsigned char szkey[0x20] = "";    
    printf("key:");
    for (i=1;i<len;i++)
    {
        t = lpTable[i];    
        sum = sum + t;
        s = sum;
        lpTable[i] = lpTable[s];        
        lpTable[s] = t;
        s = lpTable[s] + lpTable[i];
        szkey[i-1] = lpTable[s]^szDes[i-1];
        printf("%c",szkey[i-1]);
    }
    return 0;
}

key:madebyericky94528

本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (10)
12
netwind 2017-6-13 11:00
2
去花脚本  写的漂亮
wingsbupt 2017-6-14 11:19
3
不错
leidianl 2017-6-14 11:31
4
wingsbupt 不错
北邮的?
小熊ppt 2017-6-14 14:26
5
去花后的指令是都打印出来的吗
小熊ppt 2017-6-14 14:42
6

??

3
EricAzhe 2017-6-15 10:02
7
小熊ppt ??
是的,其实可以找块地方,直接复制进去,然后f5的
小熊ppt 2017-6-15 11:38
8
EricAzhe 是的,其实可以找块地方,直接复制进去,然后f5的
粘贴复制?ida吗,大概咋搞?
3
EricAzhe 2017-6-30 10:42
9
小熊ppt 粘贴复制?ida吗,大概咋搞?
不是粘贴复制,用idc自带的PatchWord这些函数写内存,只是很麻烦,需要处理跳转和重定位这些
wingsbupt 2017-8-9 14:02
10
leidianl 北邮的?
leidian?
高三 2017-9-8 16:04
11
www.guanggaoqun.net
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.014, SQL: 9 / 京ICP备10040895号-17