南宁杯re之SMC.exe——OD动态调试查看栈内容

题目链接：https://pan.baidu.com/s/1p3s_RpW_fO_CUWXriFGuAQ

提取码：4lvd

（提示：给出的这道题是我脱壳后的，因为没有及时保存原题，抱歉，不过是简单的UXP壳，大家直接用工具去脱也是可以的，所以相信大家没毛病）

这题是当时打南宁杯时的题目，拿到题目一起分析下：

1、首先用PEID查壳，发现是UXP壳，直接用工具脱壳，我的工具如下(这一步相信都没问题的)：

脱壳很简单就不多说了

2、脱完壳，拖进OD，看看情况：

要求输入flag

3、接着拖进ida看看，F5大法：

看的出来v3是输入，然后是29位的长度，最后一位是125（字符是“}”）修改化简下： 这是第一关

从逻辑上看可以知道，do里面的就是检验的过程，是简单的异或加密，就是把输入的字符的前八位与dword_40803里面的东西异或，和右边的比较，相同则v7加一，然后继续下一位，直到v7 = 8，就是说验证前8位都是正确的后，才进入下一层sub_401170(第二关)，否则肯定是报错啦。

那么逻辑就是A^B=C，则C^B=A;我们要求input1，也就是要把dword_40803的东西与input[aMwwCTw-input]里面的东西进行异或才能得到input，下面去看看汇编：

先异或EBX和EBP结果存在EBX，再执行指令把数放到EBP中，比较EBX和EBP是否相等

这里无法直接看到，于是可以使用动态调试，地址是00401268，然后重点关注EBX和EBP寄存器的内容，运行OD：

分析逻辑，在00401253（循环开始的上方）在00401258和00401282这3个地方都下个断点

然后挂完断点跑程序，随便输入29位的字符，记住最后一位是}，如下：

接下来在循环体那里停下来

在XOR指令那里记录EBX寄存器的值，即dword_40803里面的东西，在CMP指令那里记录EBP寄存器的值，即右边的input[aMwwCTw-input]里面的东西，

认准寄存器！提取出来后写个python脚本吧： 到这里第一关闯过去了，字符的前8位是gxnnctf{，卧槽，这不是南宁杯的flag格式吗，一口老血吐出来......不过学到的东西是自己的（强行安慰自己）

接着继续第二关：

看看里面的东西： do那里可以看到又是异或操作，是紧接着的后5位验证，所以直接110异或*v3就可以得到那5位了，v3是由v5得到的，猜测v5是数组，转一下： 也就是V5的每一位异或110得到那5位： 所以第二部得到Self-，顺利进去第三关啦！

其实大家想说那是不是在动态调试时也可以看到？答案是肯定的！所以如果没有给出的话，加大难度，那我们就动态调试出来，这里啰嗦下：

看栈里面的东西，一个一个地调出来，再来个脚本： 答案是一样的，但是我们更熟悉查看栈内容的技巧啦

接下来继续闯关！

准备进入第三关啦！ 这里第一个do的分析有些复杂，由于while里面是小于9，所以是把接下来的9位字符串处理，处理得到的12位的字符串存到v11中，看第二个do比较了12次，于是再次动态调试： 汇编地址是00401127，下断点跑程序，每次循环记录EDX寄存器的内容，也是DL的内容，写个脚本跑出来 由于经验，base64加密，于是在线解码 第三关结束！（其实本轮算法是base64加密算法需要经验.........） 最后再进入sub_401000(也是最后一关)

由前面的可以知道，总共破解了8+5+9=22位字符，总长度29位，所以这是对接下来的6位字符（因为最后一位是“}”）的操作，分析逻辑可以知道，看do里面的if，右边的内容减2就是左边的，所以得先知道右边是什么，看汇编，再次动态调试：

地址是00401036，关注寄存器EBX的内容， 写脚本跑出来好吧： 好的，最后一关也通过了！

整合下代码，最终的flag就是gxnnctf{Se1f-M0difying_c0de!},我们去提交下吧！

到此本题解答完成

总结经验：本题是对动态调试查看栈里面的内容，以及异或加密操作，经历过后，我们的动态调试能力有所提升，汇编语言也学习到了一些，对于学习逆向的帮助还是很大的，这是一大技巧，希望能对大家有用，我也在学习的过程中，一起加油吧！