SMC
自修改代码(Self-Modified Code)是一类特殊的代码技术,即在运行时修改自身代码,从而使得程序实际行为与反汇编结果不符,同时修改前的代码段数据也可能非合法指令,从而无法被反汇编器识别,这加大了软件逆向工程的难度。—— CTF Wiki
命令在程序中实际上是一系列的数字(data),SMC 通过对数据进行计算,转化为IDA能够识别的可执行命令(code),而在此之前,IDA 无法识别,所以直接静态调试看不出之所以然。
下面是 SMC 原理图:
解决SMC的两种方法
最好用的还是静态patch。
动态调试
在 VirtualProtect 后的核心程序下断。
调试开始后,尝试直接跟进核心函数可能会提示错误,可以用 F7 步进函数。然后由流程图转到纯汇编界面。
这个时候,将这一段代码框选后,先按 u 取消定义,再按 c 转为代码,最后按 p 识别为函数,即可成功反汇编为C语言。
即可查看程序的核心逻辑。
静态 patch
用 IDA_python 脚本,按照程序对数据的解密逻辑,直接对数据进行修改解密,这样静态下反汇编出的代码就是源代码。
脚本模板:
import ida_bytes
addr=0x401720 #函数初始地址
length=0x3E #函数大小
for i in range(length) : code=ida_bytes.get_byte(addr+i)code^=0x66 #解密逻辑,照抄两个VirtualProtect之间ida_bytes.patch_byte(addr+i,code)
运行脚本后,按照动调的顺序:u 取消定义,c 转为代码,p 识别为函数,即可。
[GWCTF2019] Re3
跟进 main 函数,发现 mprotect 函数,且在 DIE 中发现该函数是 Linux,可以确定是 SMC。
由图中确认解密程序就是 xor 0x99,得出patch脚本。
import ida_bytes
addr=0x402219
length=224
for i in range(length) : code=ida_bytes.get_byte(addr+i)code^=0x99ida_bytes.patch_byte(addr+i,code)
运行脚本,由原来的:
变为:
通过 u,c,p 的顺序,转化为函数。
在 main 函数中,通过跟进 sub_40207B 函数,发现该函数进行一系列计算,将结果存到 unk_603170 处。
跟进sub_402219函数,函数逻辑是先对输入字符串进行计算,然后和 byte_6030A0 比较。
然鹅这几个函数就是 AES_ECB 操作,unk_603170 就是 AES_KEY。
所以函数的逻辑是:先生成 KEY,再对字符串进行 AES 加密,最后和 byte_6030A0 比较。
通过动调拿到Key的值:CB8D493521B47A4CC1AE7E62229266CE,byte_6030A0 的值:BC0AADC0147C5ECCE0B140BC9C51D52B46B2B9434DE5324BAD7FB4B39CDB4B5B。
直接密码箱解密得到flag:flag{924a9ab2163d390410d0a1f670}
