ctf.360.cn第二届,逆向部分那样——第四题 - 行业资讯 - 肥雀云

题目:见附件

这题开始有些小复杂了。

注意看“隐藏信息完毕!”字符串的位置

直接搜索推40405 c,找到代码位置401 a48。

网上翻找到代码块的入口地址4017 a0。很显然这是一个非常长的函数,使用艾达进行静态分析。

,,v2 =, CreateFileA (* ((LPCSTR *) v1 +, 24),, 0 x80000000u,, 1,, 0,, 3,, 0 x80u, 0); 　　if 才能;(,v2 ==,(处理)1,) 　　{才能　　,,,result =, CWnd: MessageBoxA (v1,,, unk_4040D4,, 0, 0); 　　,,} 　　其他的才能　　{才能　　,,,v4 =, CreateFileA (* ((LPCSTR *) v1 +, 26),, 0 x80000000u, 1 u, 0,, 3,, 0 x80u, 0); 　　,,,hObject =, v4; 　　,,,if (, v4 ==,(处理)1,) 　　,,,{ 　　,,,,,result =, CWnd: MessageBoxA (v1,,, unk_4040BC,, 0, 0); 　　,,,} 　　,,, 　　,,,{ 　　,,,,,v33 =, CreateFileA (* ((LPCSTR *) v1 +, 25),, 0 x40000000u,, 1,, 0,, 2,, 0 x80u, 0); 　　,,,,,if (, v33 ==,(处理)1,) 　　,,,,,{ 　　,,,,,,,result =, CWnd: MessageBoxA (v1,,, unk_40409C,, 0, 0); 　　,,,,,} 　　,,,,, 　　,,,,,{ 　　,,,,,,,SetFilePointer (v2,, 2,, 0, 0); 　　,,,,,,,ReadFile (v2,,,缓冲区,,4 u,,, NumberOfBytesWritten,, 0); 　　,,,,,,,SetFilePointer (v2,, 4,, 0, 1 u); 　　,,,,,,,ReadFile (v2,,, v35,, 4 u,,, NumberOfBytesWritten,, 0); 　　,,,,,,,SetFilePointer (v2, 0, 0, 0); 　　,,,,,,,v5 =, operator 新(缓冲); 　　,,,,,,,lpBuffer =, v5; 　　,,,,,,,ReadFile (v2, v5(值),缓冲区,,,NumberOfBytesWritten,, 0); 　　,,,,,,,v6 =, (int)(时间+ (char *) v5 v35); 　　,,,,,,,v7 =, GetFileSize (v4, 0); 　　,,,,,,,v31 =, v7中; 　　,,,,,,,v28 =, operator 新(v7); 　　,,,,,,,ReadFile (hObject, v28,, v7中,,,NumberOfBytesWritten,, 0); 　　,,,,,,,v8 =, Buffer 作用;v35 作用;32; 　　,,,,,,,if (, 8 *, v7 & lt;=, v8 ) 　　,,,,,,,{ 　　,,,,,,,,,v24 =, v7中; 　　,,,,,,,,,v9 =, 16; 　　,,,,,,,,, 　　,,,,,,,,,{ 　　,,,,,,,,,,,LOWORD (v8),=, * (_BYTE *) v6 ,, 1; 　　,,,,,,,,,,,v10 =, v24 ,, 1; 　　,,,,,,,,,,,v8 ^=, v10; 　　,,,,,,,,,,,if (, (_WORD) v8 ) 　　,,,,,,,,,,,{ 　　,,,,,,,,,,,,,v11 =, (rand (),,, 1),==, 0; 　　,,,,,,,,,,,,,v12 =,版本6 * (_BYTE *); 　　,,,,,,,,,,,,,if (, v11 ) 　　,,,,,,,,,,,,,,,v13 =, v12 作用;1; 　　,,,,,,,,,,,,, 　　,,,,,,,,,,,,,,,v13 =, v12 +, 1; 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null 　　null