ISCC 2025 线下关卡逆向分析教学文档<\/h1>

题目概述<\/h2>
本题目是一个包含多层保护的逆向工程挑战，主要涉及PE加载器、反调试技术、TEA加密算法等知识点。成功解决需要掌握动态调试、内存DUMP、密码学算法逆向等技能。<\/p>

解题步骤详解<\/h2>

第一阶段：识别与脱壳<\/h3>

1. 识别保护机制<\/h4>

程序使用了PELoader技术进行加壳保护<\/li>
所有计算操作都通过变量v29进行，然后传递给v7<\/li>

v7作为参数传入核心函数，这是典型的Loader特征<\/li> <\/ul>

2. 动态调试与Dump策略<\/h4>

推荐工具<\/strong>：x64dbg或Ollydbg配合IDAPython<\/p>

Dump时机<\/strong>：在PELoader执行完成前进行Dump，此时原始PE已解密在内存中但尚未被加载执行<\/p>

Dump方法<\/strong>：<\/p>

# IDAPython示例脚本<\/span>
<\/span><\/span>start_address =<\/span> 0x00401000<\/span>  # 示例起始地址<\/span>
<\/span><\/span>dump_size =<\/span> 0x4C000<\/span>         # 通过分析IMAGE结构获得的大小<\/span>
<\/span><\/span>
<\/span><\/span>with<\/span> open("dumped_pe.exe"<\/span>, "wb"<\/span>) as<\/span> f:
<\/span><\/span>    for<\/span> i in<\/span> range(dump_size):
<\/span><\/span>        byte_value =<\/span> idc.<\/span>get_wide_byte(start_address +<\/span> i)
<\/span><\/span>        f.<\/span>write(bytes([byte_value]))
<\/span><\/span><\/code><\/pre>验证方法<\/strong>：使用PE分析工具检查Dump文件的完整性，确保DOS头、PE头和节表完整<\/p>
第二阶段：绕过反调试<\/h3>
反调试特征<\/h4>

程序包含明显的反调试检测代码<\/li>
建议在调试器中设置断点跳过这些检测逻辑<\/li>
常见的反调试技术包括：

IsDebuggerPresent检测<\/li>
时间差检测<\/li>
硬件断点检测<\/li>
<\/ul>
<\/li>
<\/ul>
绕过策略<\/h4>

使用ScyllaHide等反反调试插件<\/li>
手动修改关键跳转指令<\/li>
在检测函数返回前修改返回值<\/li>
<\/ul>
第三阶段：算法分析与逆向<\/h3>
输入格式分析<\/h4>

程序接受32字节长度的输入<\/li>
支持两种输入格式：

直接字符输入（如字符串）<\/li>
十六进制格式（需要添加"hex:"前缀）<\/li>
<\/ul>
<\/li>
<\/ul>
加密算法识别<\/h4>
算法特征分析表明这是TEA（Tiny Encryption Algorithm）的变种：<\/p>
算法特征<\/strong>：<\/p>
\/\/ 类似TEA的加密结构
<\/span><\/span><\/span><\/span>for<\/span> (int<\/span> i =<\/span> 0<\/span>; i <<\/span> rounds; i++<\/span>) {
<\/span><\/span>    d1 +=<\/span> ((d3 <<<\/span> 4<\/span>) +<\/span> key1) ^<\/span> (d3 +<\/span> sum) ^<\/span> ((d3 >><\/span> 5<\/span>) +<\/span> key2);
<\/span><\/span>    d3 +=<\/span> ((d1 <<<\/span> 4<\/span>) +<\/span> key3) ^<\/span> (d1 +<\/span> sum) ^<\/span> ((d1 >><\/span> 5<\/span>) +<\/span> key4);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键加密逻辑<\/h4>


数据流分析<\/strong>：<\/p>

d4与d1进行异或操作，其中d1由d3生成<\/li>
d3的d1参与由上一轮d4产生的计算<\/li>
形成d1-d3和d1-d4的配对关系<\/li>
<\/ul>
<\/li>

逆向工程策略<\/strong>：<\/p>

从加密过程的最后开始向前逆向推导<\/li>
以组为单位处理数据流<\/li>
重建加密轮的逆向计算<\/li>
<\/ul>
<\/li>
<\/ol>
解密实现<\/h4>
解密过程需要反向执行加密操作：<\/p>
def<\/span> decrypt_tea_variant<\/span>(ciphertext, key):
<\/span><\/span>    # 实现逆向TEA算法<\/span>
<\/span><\/span>    # 从后向前处理数据块<\/span>
<\/span><\/span>    # 反转每一轮的加密操作<\/span>
<\/span><\/span>    pass<\/span>
<\/span><\/span><\/code><\/pre>第四阶段：获取Flag<\/h3>
关键数据<\/h4>
通过逆向分析得到十六进制值：

4D617472796F73686B61323032352121<\/code><\/p>
转换结果<\/strong>：<\/p>

ASCII解码：Matryoshka2025!!<\/code><\/li>
这是程序的预期输入或关键数据<\/li>
<\/ul>
验证流程<\/h4>

运行脱壳后的可执行文件<\/li>
输入获得的字符串：Matryoshka2025!!<\/code><\/li>
程序输出最终的flag<\/li>
<\/ol>
技术要点总结<\/h2>
1. 加壳识别技巧<\/h3>

观察入口点代码特征<\/li>
分析内存分配和代码解密模式<\/li>
识别Loader的典型行为模式<\/li>
<\/ul>
2. 动态分析最佳实践<\/h3>

选择正确的Dump时机<\/li>
验证Dump文件的完整性<\/li>
结合静态和动态分析<\/li>
<\/ul>
3. 密码学算法逆向<\/h3>

识别常见的加密算法模式<\/li>
理解数据流依赖关系<\/li>
设计有效的逆向算法<\/li>
<\/ul>
4. 输入处理注意事项<\/h3>

注意输入长度限制（32字节）<\/li>
区分字符和十六进制输入模式<\/li>
正确处理格式前缀<\/li>
<\/ul>
扩展学习建议<\/h2>

深入学习PE结构<\/strong>：理解Windows可执行文件格式<\/li>
掌握更多加壳技术<\/strong>：UPX、ASPack、VMProtect等<\/li>
研究反调试技术<\/strong>：提升逆向工程能力<\/li>
密码学知识<\/strong>：AES、DES、RSA等常见算法<\/li>
<\/ol>
通过本案例的完整分析，可以系统掌握Windows平台逆向工程的核心技能，为后续更复杂的挑战打下坚实基础。<\/p>

ISCC 2025 线下关卡逆向分析教学文档<\/h1>

题目概述<\/h2> 本题目是一个包含多层保护的逆向工程挑战，主要涉及PE加载器、反调试技术、TEA加密算法等知识点。成功解决需要掌握动态调试、内存DUMP、密码学算法逆向等技能。<\/p>

解题步骤详解<\/h2>

第一阶段：识别与脱壳<\/h3>

第三阶段：算法分析与逆向<\/h3>

第四阶段：获取Flag<\/h3>

技术要点总结<\/h2>

题目概述<\/h2>
本题目是一个包含多层保护的逆向工程挑战，主要涉及PE加载器、反调试技术、TEA加密算法等知识点。成功解决需要掌握动态调试、内存DUMP、密码学算法逆向等技能。<\/p>