Cython逆向分析实战：CTF题目rand0m解析<\/h1>

前言<\/h2>
随着Cython在CTF题目中的应用越来越广泛，掌握Cython逆向分析技能变得尤为重要。本文将以CISCN比赛中的"rand0m"题目为例，详细讲解如何逆向分析Cython编译的.pyd文件。<\/p>

环境准备<\/h2>

Python版本匹配<\/strong>：<\/p>

Cython编译的.pyd文件对Python版本有严格要求<\/li>
建议使用conda环境管理不同Python版本<\/li>
本例中使用Python 3.12.5版本可正常运行<\/li> <\/ul> <\/li>

工具准备<\/strong>：<\/p>

IDA Pro（用于逆向分析）<\/li>
Python环境（用于调试）<\/li> <\/ul> <\/li> <\/ol>
初步分析<\/h2>

文件构成<\/strong>：<\/p>

题目提供一个.py文件和一个.pyd文件<\/li>
.pyd文件相当于DLL，可被同目录下的.py文件直接导入<\/li> <\/ul> <\/li>

关键函数定位<\/strong>：<\/p>

使用IDA打开.pyd文件<\/li>
Shift+F12查看字符串界面，寻找"rand0m"相关字符串<\/li>
在.py脚本中发现调用了rand0m.check<\/code>函数<\/li>
在IDA中对rand0m.check<\/code>按x进行交叉引用<\/li> <\/ul> <\/li>
函数引用分析<\/strong>：<\/p> 通常会出现两行引用：第一行是函数的包装函数<\/li> 第二行是函数的内部实现<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ol> 调试方法<\/h2> 调试准备<\/strong>：<\/p> 编写一个Python文件调用目标函数<\/li> 在函数开头使用input()<\/code>以便IDA附加<\/li> <\/ul> <\/li> IDA附加调试<\/strong>：<\/p> 运行Python脚本<\/li> 使用IDA附加到python.exe进程<\/li> 在关键函数处设置断点<\/li> 在命令行输入数据触发断点<\/li> <\/ul> <\/li> <\/ol> 关键数据结构<\/h2> PyList_New<\/strong>：<\/p> 用于创建新的列表<\/li> 参数指定列表长度（本例中为8）<\/li> <\/ul> <\/li> 硬编码数据指针<\/strong>：<\/p> 形如off_7FFE92BAB688[40]<\/code>的指针存储Python硬编码数据<\/li> 可通过IDA交叉引用查看具体值<\/li> 例如off_7FFE92BAB688[40]<\/code>存储值为304643896<\/li> <\/ul> <\/li> <\/ol> 算法逆向分析<\/h2> 1. 异或操作<\/h3> tmp1 =<\/span> input_value ^<\/span> 2654435769<\/span> <\/span><\/span><\/code><\/pre> 使用PyNumber_Xor<\/code>函数实现<\/li> 第二个操作数为off_7FFE9DAEB688[44]<\/code>（2654435769）<\/li> <\/ul> 2. 右移操作<\/h3> tmp2 =<\/span> tmp1 >><\/span> 5<\/span> <\/span><\/span><\/code><\/pre> 通过右移函数实现<\/li> 查看第二个或第三个参数确定位移量<\/li> <\/ul> 3. 左移操作<\/h3> tmp3 =<\/span> tmp1 <<<\/span> 4<\/span> <\/span><\/span><\/code><\/pre> 使用左移函数实现<\/li> 位移量由off_7FFE9DAEB688[32]<\/code>确定<\/li> <\/ul> 4. 按位与操作<\/h3> tmp4 =<\/span> tmp3 &<\/span> 4198170623<\/span> <\/span><\/span><\/code><\/pre> 使用按位与函数实现<\/li> 操作数为off_7FFE9DAEB688<\/code>（4198170623）<\/li> <\/ul> 5. 组合操作<\/h3> tmp5 =<\/span> tmp2 >><\/span> 23<\/span> <\/span><\/span>tmp6 =<\/span> tmp4 +<\/span> tmp5 <\/span><\/span><\/code><\/pre>6. 幂和模运算<\/h3> tmp7 =<\/span> ((tmp1 >><\/span> 11<\/span>) **<\/span> 65537<\/span>) %<\/span> 4294967293<\/span> <\/span><\/span><\/code><\/pre>完整算法还原<\/h2> 综合以上分析，可以还原出完整的处理算法：<\/p> 输入值与硬编码常量异或<\/li> 进行一系列位移和位运算<\/li> 执行幂运算和模运算<\/li> 返回处理结果<\/li> <\/ol> 注意事项<\/h2> 静态分析取值<\/strong>：<\/p> 注意查看静态分析中的off_7FFE9DAEB688[32]<\/code>等指针<\/li> Cython在动态调试中，32位数值可能只有30位有效<\/li> <\/ul> <\/li> 数据类型转换<\/strong>：<\/p> 在IDA中可使用d键将db转为dp查看数据结构<\/li> 注意参数a2是一个结构体，包含处理数据<\/li> <\/ul> <\/li> 函数识别<\/strong>：<\/p> 重点关注IDA中粉色的函数（核心处理函数）<\/li> 其他辅助函数可暂时忽略<\/li> <\/ul> <\/li> <\/ol> 验证方法<\/h2> 通过返回值验证还原的算法是否正确<\/li> 对比静态分析结果与动态调试结果<\/li> 编写模拟算法验证处理逻辑<\/li> <\/ol> 总结<\/h2> 通过本案例，我们掌握了：<\/p> Cython逆向分析的基本流程<\/li> IDA调试Cython编译的.pyd文件的方法<\/li> 识别和还原Cython中的关键算法<\/li> 处理硬编码数据和复杂运算的技巧<\/li> <\/ol> 这些技能对于解决CTF中日益增多的Cython逆向题目至关重要。<\/p>

Cython逆向分析实战：CTF题目rand0m解析<\/h1>

前言<\/h2> 随着Cython在CTF题目中的应用越来越广泛，掌握Cython逆向分析技能变得尤为重要。本文将以CISCN比赛中的"rand0m"题目为例，详细讲解如何逆向分析Cython编译的.pyd文件。<\/p>

算法逆向分析<\/h2>

前言<\/h2>
随着Cython在CTF题目中的应用越来越广泛，掌握Cython逆向分析技能变得尤为重要。本文将以CISCN比赛中的"rand0m"题目为例，详细讲解如何逆向分析Cython编译的.pyd文件。<\/p>