[CTF/Reverse] [FlareOn3]DudeLocker
侧边栏壁纸
  • 累计撰写 65 篇文章
  • 累计收到 3 条评论

[CTF/Reverse] [FlareOn3]DudeLocker

x1n
x1n
2022-04-05 / 0 评论 / 7 阅读 / 正在检测是否收录...

Win32程序, 给了一个PE和一个应该是被加密了的doc

image-20220405111407954.png

全是WinAPI, MSDN先备好

image-20220405111525938.png

关注一下预处理, 16是Desktop, Filename是~\Desktop\Briefcase,如果打开失败就说你显然不是Re, 否则进else关闭文件句柄

到第42行获取卷序列号, 要求必须是0x7DAB1D35, 下面申请堆就不关注了, 直接关注1940

image-20220405113001959.png

a3就是上面的十六进制, a1是一个明文表, 注意端序, 应该是0x35, 0x1D, 0xAB, 0x7D

image-20220405113314800.png

直接解一下thosefilesreallytiedthefoldertogether

image-20220405113443129.png

1080长这样, WinCrypt, 看上去1180比较重要因为和上面的字符串有关

image-20220405113623380.png

image-20220405113651317.png

把上面的SHA1掉

image-20220405113802568.png

6610则是AES256, 用哈希值产生一个秘钥, 一层层返回到main的hKey里

image-20220405114012155.png

关注1300

image-20220405114140592.png

4030F4是\*, 后面接一起把filename下的所有文件都加密之应该是

image-20220405121004340.png

image-20220405121337348.png

8003都能背下来了, MD5

把传进来的第四个参数Hash之后SetKey, 具体Set的是一个IV,之后没再做别的了, 回main关注1500

image-20220405121724406.png

a1是key, 这瞎猜都能猜到了吧..

就是以一个明文SHA1为秘钥生成根, 用CryptoAPI生成一个AES-256的秘钥, IV是文件名的MD5

因为本身用Python模仿CryptoAPI生成秘钥挺麻烦的, 分析通了就做到这儿了.

0

评论 (0)

取消