在地铁上破解软件，被一群人围观！

注意看，这是一道软件破解题：

题目是这样的：附件是一个压缩包，里面是一个exe文件被拆分成了几部分，需要做的是把这个exe文件重新组装起来，成功运行它，然后破解它拿到flag，这是我给学逆向的同学出的一道典型的CTF Pwn类型的题目。

首先下载这个压缩包，解压后，会发现有4个文件：

然后我们用十六进制编辑器分别打开这四个文件，看一下：

b.dat:

看不出是个啥，再看看其他的。

d.dat：

只要学习了PE文件格式（第10课）这一节的同学，通过MZ标记很容易看得出来，这是PE文件中的DOS头部，是整个文件最开始的部分。

然后用十六进制编辑器创建一个新文件，把这个第一部分d.dat的内容复制进去。

接下来看看其他块。

p.dat：

这个也很容易看出，是NT头，是紧接着前面DOS头后的第二部分。

把这部分内容也复制到咱们刚刚创建的新文件后面。

s.dat：

这一个部分，看右边的.text、.rdata、.data就能看得出来，这是节表的内容，是在NT头后的第三部分。

这样推断出来，最开始的b.dat应该就是最后文件的正文内容了，它的体积也是最大的。

把这四部分内容按顺序复制到我们新建的那个文件中，然后另存为一个exe文件，尝试去双击执行它。

然后，有很多小伙伴发现了一个问题，双击运行程序报错了：

难道拼的有问题？

有不少小伙伴都倒在了这里。

实际上，这里我埋了一个小小的坑，其中有个节我多塞了一个字节进去，就是这一个字节，让拼出来的PE文件格式错误，运行不起来。

不过毕竟很多同学都是刚刚学，我也不会太难为大家，这一个字节一般都是在某个块开头或者结尾。

仔细去检查刚才的四个数据块，你就会发现节表的那个块，前面多了一个00：

只要认真看了第10课的同学都能查得出来。

删除这一个字节，我们再次尝试双击这个exe程序，结果发现还是不行，还在报错：

不过仔细看，报错类型不一样了，提示是找不到一个动态链接库。其实看到这个报错，就能确定一件事，我们的PE文件组装已经OK了，接下来要解决这个新问题了。

一个exe程序要运行，它通常会依赖一些其他的动态链接库，有系统库，比如kernel32.dll，也有程序自己依赖的其他库。不管哪种情况，这些依赖的动态库都记录在它的文件结构中，这就是PE文件的导入表。

上面这个报错，就是系统在创建进程时，在解析这个PE文件的导入表过程中，发现了它需要依赖一个license.dll文件，然后尝试去加载这个dll，然后又没有找到，所以报了这个错，进程创建失败。

我们可以用DEPENDS工具来看下这个程序的导入表：

可以看到，这个程序引用了一个叫license.dll动态库中的GetLicense函数。

接下来是我们的逆向分析神器IDA登场的时候了。

把这个组装出来的程序放入IDA中来分析分析：

IDA定位到了main函数，然后很容易看出main函数的代码逻辑，这里在调用前面的GetLicense函数，然后检查函数的返回值，检查通过就打印输出flag，失败则输出一个错误信息。

当然，为了避免一眼就直接拿到flag，我对flag进行了一个简单的编码，打印输出的时候，需要先解码还原。

如果大家看汇编有些吃力，还可以直接用IDA反编译成C语言，这看起来就容易得多了:

根据我们刚才的分析，把上面那些函数和变量重新命个名，看起来更清晰（关于这些操作，在第13课IDA的操作使用中有详细的介绍）：

是不是好理解得多了？

看到这里，思路就出来了：

方法1、自己编写一个这个名字的DLL文件，然后导出一个名为GetLicense的函数，让程序成功运行起来，打印出flag。

方法2、直接暴力破解，修改关键汇编指令，让程序强行走入打印flag的分支。

方法3、最简单的，找到解码flag的函数，直接分析它是如何解的，自己写程序模拟解一遍就行了。

我们三种方法都试一下。

方法1：编写DLL

观察一下IDA分析视角下，程序中调用GetLicense函数的汇编指令，可以看得出来这个GetLicense函数只有一个整型参数，然后返回值是一个字符串指针。函数的声明就出来了：

char* GetLicense(int n);

第一种方法的关键，是要让GetLicense函数返回一个符合要求的字符串，也就是license，这样才能通过程序里的检查。

所以，我们先来分析一下，原程序中，是怎么在检查license的：

检查函数返回的是一个bool，里面的检查逻辑也比较简单。

首先通过strlen获取license的长度，检查长度是不是16，如果不是，则返回false。

接着是一个for循环，我们先跳过，最后来看它。

最后的return是一组&&连接的检查，首先检查license的第4-7个字符的和（ASCII的和）减去第0-3个字符的和是不是为1。然后检查第8位是不是45。换成ASCII字符就是短横线-：

最后回过头看看中间那个for循环。里面在调用另一个sub_401096函数，然后把license的每一个字符传进去。

进去看一下这个函数：

这个函数里面又是一个for循环，在检查参数传进来的字符是不是在一个byte数组中，如果是就返回1，否则返回0。

这个数组里面是啥呢？进去看看：

好了，总结一下，前面的检查license的函数里面在干四件事：

检查license字符串长度是不是16
检查license字符串中的每一个字符是不是在上面的byte数组中
检查license字符串第0-3个字符的和比第4-7位字符的和小1
检查license字符串的第8位字符是一个短横线

其实这个license检查规则，就是根据我的微信号：xuanyuan-zhifeng设计出来的，嘿嘿，有没有猜到？

但不是说license必须是这个，你的字符串只要符合上面的要求都可以。

好了，咱们来编写一个DLL：

extern "C"
__declspec(dllexport) 
char* GetLicense(int code)
{
 return "xuanyuan-zhifeng";
}

注意，需要使用extern "C"，否则导出的函数名字会发生变化。

然后把DLL放置到前面我们拼接的exe目录下，这时候再来运行我们的程序：

flag已经出来了：[email protected]

方法2：暴力破解

因为我们还没有讲到调试器，所以这里先不动用动态分析，还是用IDA来搞定。

具体怎么暴力破解呢？首先想到的最简单的，就是这条JZ指令，只要能把它窜改成JNZ，即便license检查不通过，也会走入打印flag的分支。

但在这之前，我们需要让程序能够先运行起来，不受那个DLL的依赖束缚。

前面讲过，程序的依赖项是在导入表中，那为今之计，就是找到导入表，把这个DLL干掉。

首先需要定位到导入表在PE文件中的哪个位置，这又需要用到第13课的知识了，先找到文件头的数据目录，数据目录的第二项是导入表的RVA。然后根据节表中每个节的RVA，定位到导入表在哪个节。然后再根据那个节的FOA，定位到文件中的位置。

然后通过导入表描述符的Name字段，就能知道这第一项就是license.dll。

用导入表的后面第二项kernel32.dll的内容覆盖license.dll的导入表项。然后把原来kernel32.dll的项清零，就完成把license.dll从导入表中抹去的工作。

我们用Depends工具来看下现在这个程序的导入表：

可以看到，现在只依赖kernel32.dll了，不需要license.dll了。

但你现在去执行还是有问题，因为咱们程序里面使用了外部引入的GetLicense函数啊，你现在都没license.dll了，这个函数没法调用了。

那干脆一不做二不休，直接HOOK main函数的流程，让它一进来就直奔打印flag的分支。先不管他堆栈平衡的问题，反正咱们的目的是拿到flag，拿到以后哪管它崩不崩溃。（关于HOOK相关的知识，咱们在接下来的课程中会专门来讲解）

所以，我们可以把main函数入口地方直接篡改成一条短跳指令，直接跳到flag解码打印的分支：

然后来执行这个程序：

flag又被我们召唤出来了！

方法三：直接解码flag

前面两种方法还是有一点麻烦，既然我们要的是flag，那么直接对flag下手，看它藏在哪里，然后想办法把它解出来就行了！

通过IDA反编译出来的C代码，可以看到这个函数就是在负责对flag进行解码。

双击这个函数，然后反编译看一下解码函数的逻辑：

经过对汇编指令的分析，这个函数实际上是没有返回值的，我们对其中的一些变量名称以及类型、函数的返回值类型进行人工修正，让它看起来更清晰：

这下简单明了了吧，实际上就是在对flag字符串的每一位，与一个key进行异或运算（看吧，真的不难，毕竟是从零开始学逆向嘛）。

双击看一下这个key是个啥：

就是一个字节的0xCC。

然后回去看一下解码前的那个flag：

切换到十六进制窗口：

都到这儿了，问题都好办了吧，自己写个简单的程序，按照解码函数那样把这段数据处理一遍就出来了：

void my_decode_flag() {

 char flag_bytes[] = {
  0xB4, 0xB9, 0xAD, 0xA2, 0xB5, 0xAD, 0xA2, 0x8C, 
  0xAE, 0xA5, 0xAD, 0xA2, 0xAF, 0xA4, 0xA9, 0xA2, 
  0xAB, 0xE2, 0xB9, 0xA2, 0xA5, 0xBA, 0xA9, 0xBE, 
  0xBF, 0xA9, 0x00
 };

 for (int i = 0; i < strlen(flag_bytes); i++) {
  flag_bytes[i] ^= 0xCC;
 }

 printf(flag_bytes);
 printf("n");
}