Rust逆向分析技巧详解<\/h1>

一、Rust逆向三板斧<\/h2>

1. 快速定位关键函数（真正的main函数）<\/h3>

观察程序输出和输入<\/li>
使用字符串搜索功能<\/li>
设置断点逐步调试<\/li>
关键技巧<\/strong>：如果一个函数在被调试运行(F8)之后，既有输出又要求输入，那么当前函数很可能不是真正的main函数<\/li> <\/ul>
2. 定位关键加密区<\/h3>

根据输入的flag，在flag的内存区域设置硬件读断点<\/li>
当程序访问flag内存区时，调试器会停止，此处大概率就是加密区<\/li>
关键技巧<\/strong>：对于包含flag（无论加密前后）的内存区域，首先打上硬件读断点<\/li> <\/ul>
3. 定位错误输出及比较功能<\/h3>

错误输出附近通常有比较功能的程序<\/li>
定位到比较位置后，可以提取出正确加密后的结果<\/li>
关键技巧<\/strong>：在C语言层面，对临时变量、局部变量等的修改，在汇编层面一定会反映到对内存空间的修改上<\/li> <\/ul>
二、Rust语言特性与逆向<\/h2>
1. 传参与返回值<\/h3>

前6个参数分别使用寄存器：di, si, dx, cx, r8, r9<\/li>
返回值使用ax寄存器<\/li> <\/ul>
2. 与Go语言的对比<\/h3>

Go语言前6个参数使用寄存器：ax, bx, cx, di, si, r8<\/li>
额外参数使用：r9, r10, r11<\/li>
返回值同样使用ax寄存器<\/li> <\/ul>
三、实战案例分析<\/h2>
案例1：ciscn2024 rust_baby<\/h3>
1. 定位关键函数<\/h4>

先运行观察输出的错误字符串<\/li>
在IDA中搜索不到时，通过调试定位关键输入输出函数<\/li>
在入口函数设置断点，逐步跟踪到真正的main函数<\/li> <\/ul>
2. 定位flag加密区<\/h4>

输入flag后，在flag内存区设置硬件读断点<\/li>
程序访问flag内存区时停止，此处即为加密区<\/li>
分析伪代码或汇编代码理清加密逻辑<\/li> <\/ul>
3. 加密分析<\/h4>

示例中发现flag被8个字符一组处理（不足用'E'填充）<\/li>
经过encode加密后，再异或0x33<\/li>
encode函数分析：

非对称加密<\/li>
通过特定输入测试（如"bbbbbbbb"→"aabbccdd"）<\/li>
推断出key_1 = [1,1,0,0,-1,-1,-2,-2]，对字符ASCII码进行加减<\/li> <\/ul> <\/li> <\/ul>
4. 多层加密处理<\/h4>

第一层加密后，flag内存位置改变，需重新设置硬件断点<\/li>
发现第二轮加密：16个一组，共7轮，与静态key数组异或<\/li>
通过输入不同flag验证key数组是否为静态<\/li> <\/ul>
5. Base64加密<\/h4>

定位到base64加密区域<\/li>
提取base64编码表<\/li>
加密后结果存储到新内存区域<\/li> <\/ul>
6. 比较区域<\/h4>

在base64加密后的内存区域设置断点<\/li>
定位到比较区域，比较输入的flag加密后结果与正确结果<\/li>
错误输出紧邻比较区<\/li> <\/ul>
7. 解密流程<\/h4>

根据分析的加密步骤和提取的数据逆向flag<\/li> <\/ul>
案例2：[羊城杯 2024]sedRust_happyVm<\/h3>
1. 定位关键函数<\/h4>

根据输出字符串快速定位<\/li>
在flag内存设置硬件断点<\/li> <\/ul>
2. 初始检查<\/h4>

分析汇编发现检查flag格式：

头部必须为"DSACTF"<\/li>
长度必须为0x28<\/li> <\/ul> <\/li>
可通过输入"DASCTF{aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}"绕过检查<\/li> <\/ul>
3. Base64编码<\/h4>

提取flag的{}中内容到新内存空间<\/li>
类似base64编码处理（3字符一组，83=6<\/em>4）<\/li>
编码结果存储到新内存区域<\/li> <\/ul>
4. VM虚拟机加密<\/h4>

对base64编码后的flag(base_flag)进行加密处理<\/li>
将base_flag两个一组取出，进行移位、相加、与操作<\/li>
与程序常数0x0B1000018结合，传入vmp函数加密<\/li> <\/ul>
5. 正确性判断<\/h4>

定位输出"正确"的位置<\/li>
发现vmp函数通过设置内存区域[rsp+0C88h+check]的值来判断<\/li>
该值在vmp函数中被修改，最终与0比较<\/li> <\/ul>
6. vmp函数分析<\/h4>

在vmp函数中定位修改判定条件的位置<\/li>
发现a1[1048]的值被加法和异或操作修改<\/li>
这两个操作是判断flag正确的关键<\/li> <\/ul>
7. 加密\/比较过程<\/h4>

base_flag与程序立即数0xB1000018一起传入<\/li>
第一次异或：对base_flag加密<\/li>
第二次异或：加密结果与正确值比较<\/li>
比较结果影响最终判定条件<\/li> <\/ul>
8. 数据提取与解密<\/h4>

提取两组异或值，相互异或还原base_flag<\/li>
对base_flag解码得到原始flag<\/li> <\/ul>
四、IDA调试技巧<\/h2>
1. 硬件断点使用<\/h3>

对关键内存区域设置硬件读断点<\/li>
当程序访问该区域时中断<\/li>
特别适用于跟踪flag处理流程<\/li> <\/ul>
2. 动态数据提取<\/h3>

使用IDA脚本在调试时提取关键数据：
start_process<\/span>(path<\/span>, args<\/span>, sdir<\/span>) \/\/ 启动进程并附加调试器 <\/span><\/span><\/span><\/span>run_to<\/span>(ea<\/span>) \/\/ 运行到指定地址 <\/span><\/span><\/span><\/span>wait_for_next_event<\/span>(WFNE_SUSP<\/span>|<\/span>WFNE_CONT<\/span>, -<\/span>1<\/span>) \/\/ 等待进程挂起后继续 <\/span><\/span><\/span><\/span>get_wide_byte<\/span>(ea<\/span>) \/\/ 获取指定地址的值 <\/span><\/span><\/span><\/span>get_reg_value<\/span>("ECX"<\/span>) \/\/ 获取寄存器值 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 断点管理<\/h3> 在关键操作位置设置断点<\/li> 注意IDA可能将断点标记为"Unresolved"<\/li> 必要时在汇编代码中直接观察寄存器和内存值<\/li> <\/ul> 五、总结<\/h2> Rust逆向核心在于快速定位关键函数、加密区和比较区<\/li> 硬件断点是跟踪flag处理流程的最有效工具<\/li> 多层加密需要逐层分析，注意内存区域变化<\/li> VM虚拟机逆向重点在于识别加密模式和关键判断条件<\/li> 动态调试结合静态分析是解决复杂Rust逆向问题的有效方法<\/li> <\/ol>

Rust逆向分析技巧详解<\/h1>

一、Rust逆向三板斧<\/h2>

二、Rust语言特性与逆向<\/h2>

三、实战案例分析<\/h2>

案例1：ciscn2024 rust_baby<\/h3>

案例2：[羊城杯 2024]sedRust_happyVm<\/h3>

四、IDA调试技巧<\/h2>