Win32程序, 给了一个PE和一个应该是被加密了的doc
全是WinAPI, MSDN先备好
关注一下预处理, 16是Desktop, Filename是~\Desktop\Briefcase,如果打开失败就说你显然不是Re, 否则进else关闭文件句柄
到第42行获取卷序列号, 要求必须是0x7DAB1D35, 下面申请堆就不关注了, 直接关注1940
a3就是上面的十六进制, a1是一个明文表, 注意端序, 应该是0x35, 0x1D, 0xAB, 0x7D
直接解一下thosefilesreallytiedthefoldertogether
1080长这样, WinCrypt, 看上去1180比较重要因为和上面的字符串有关
把上面的SHA1掉
6610则是AES256, 用哈希值产生一个秘钥, 一层层返回到main的hKey里
关注1300
4030F4是\*, 后面接一起把filename下的所有文件都加密之应该是
8003都能背下来了, MD5
把传进来的第四个参数Hash之后SetKey, 具体Set的是一个IV,之后没再做别的了, 回main关注1500
a1是key, 这瞎猜都能猜到了吧..
就是以一个明文SHA1为秘钥生成根, 用CryptoAPI生成一个AES-256的秘钥, IV是文件名的MD5
因为本身用Python模仿CryptoAPI生成秘钥挺麻烦的, 分析通了就做到这儿了.
评论 (0)