0x0 前言
昨天看了一下backdoorctf2013 的bin500。一道vb題, vb不是很熟,大概就是一些關鍵的函數之類的。廢話不多說了, 直接分析吧。對了題目的地址
0x1 Start
直接把bin丟 進IDA ,然後ida上全是hex ,看不懂,記得以前分析過的vb好像不是這樣的,那麼一定是做了相應的保護,或者本人太挫疏忽了什麼。
不能靜態分析那就只能動態了, 這貨只能在我的xp虛擬機了跑, 首選od(重新換了52破解的新版OD,然而並沒有把插件一一起配置好), 然後下了各種斷點都沒有斷然後下來, 而且期間可能因爲檢測到我的斷點自殺了好幾次。。。,這些都是程序反調試造成的。於是重新配一下OD的插件, 分分鐘把所有字符串比較的vb函數全部bp了一遍, 最後OD終於停在了rtcIsNumeric函數上,並且這個時候能看到我們的輸入。。。希望來了。對了,還要上圖先。
0x2 crack
其實這段沒什麼好說的, 就是一直跟,f8,f7,f9 中間可以看到字符串轉數字,然後大致就能猜到是比較數字了,或者再難一點去做一些算法什麼的。 但是這題好點水,竟然真的是比較數字了
直接把數字轉一下就得到flag了。 然而flag ,也是一張圖片, 在分析的時候, OD中確實有看到過圖片,我也放到Xscope裏看過,但是沒發現。
0x3 後記
既然是圖片, 直接binwalk走一下, 然後就可以手工提取或者使用foremost 提取了, 關於foremost ,和binwalk一起更配哦
另外忘說了,VB的分析軟件可以去試試vb decomplie,上張圖
寫過代碼的我想大致的邏輯就能看懂了,剩下的其實暴力破解也行啊,貌似限制了9位數字, 所以完全可以寫個腳本什麼的,比如python 的pydbg ,暴力破解也是可以的。 平時太過於依賴ida ,動態分析的能力也會有所下降,特別是OD ,真的好久沒有用了。