IDA静态
拖进去发现代码非常之多,看了一下CFG就是一条路走到底,但是呢更像是在执行某个循环加密的函数,因为往下走的图会发现代码都是相同的(只是把for循环去掉了)。运行一下程序,试着在IDA中找一下这些字符串,试图找到获取输入的地方。但是并没有看到,所以我们用x64dbg动态调一下。下面是IDA分析出来的关键代码,会执行好几次。
这里是获取输入的地方
会跳转到这里,第一个函数点进去查看可以看到是很明显的tea加密
在这里生成delta,调试发现是0x33445566
我用了IDA7.0和7.5分析出来的程序长得都不一样,并且这两个都看不到中文的字符串,所以还是动态搞一下。
X64dbg+IDA动态
网上wp说跟着调试可以在内存中得到比较数据,但是x64dbg还不是很熟练,IDA动态调试数据窗口也还不太熟悉,先留着,稍后更新。