Win API逆向 反调试, Python字节码 ,OLLVM rc4 换表base64
贪玩ctf
TlsCallback_0有个Isdebuggerpresent反调试 直接nop就行
这边messagebox有个小技巧,把中文显示出来,选这个直接显示中文 非常的方便
通过中文定位到关键代码发现有个加密
往下翻可以看到可疑加密函数
进入后可以发现频繁调用sbox进行加密操作 并且有两个sbox 猜测为aes 实际动调后发现256字节的两个sbox
回到前面先把account解出来
acc = [0x04, 0x1F, 0x1F, 0x1E, 0x43, 0x4B, 0x43, 0x45,
0x44, 0x00, 0x16, 0x10, 0x55, 0x17, 0x12, 0x73]
for i in range(len(acc)-1):
acc[i] ^= acc[15]
print(chr(acc[i]), end='')
print(chr(acc[15]), end='')
#wllm08067sec&das
然后拿到
Xunflash