BUGKU (Mountain climbing)

UPX壳，手脱后打不开，可能是在windows10脱壳的缘故吧。放在XP虚拟机上手脱可能会好，但是提示缺少dll。无奈，智能用工具了。

用的这个，感觉蛮好用的。

先打开程序。随便输入一个数，提示error

IDA中找到相应字符串。

F5反编译

可以看到，在while循环里面，限制我们输入的字符串必须是L或者R。当时我就输入了19个L，结果提示了error。按照代码的逻辑来看，讲道理是不可能出现这种情况的。

后来想可能是这个sub_41114F函数有问题，但是当我在IDA中查看时，出现了下面的情况。

这个问题不清楚，于是改用OD。进入这个函数查看。

首先调用了call 004110A5，这个函数结束后，后面的汇编代码会发生改变。如下图。

进入IDA来看看call 004110A5函数，如下图

这几个Virtual函数查了百度，并不是太明白。不过结合OD的调试，和IDA反编译的结果，可以推测出具体作用是：从某个地址开始，对每个字节进行异或4运算。一共有0x40个字节被改变。

这个推测可以在OD中得到验证。图中框出来的就是被改变了的，一共0x40个字节。这里也许就可以解释为何在IDA中反编译失败了，因为没有经过这个函数动态变化后的代码是错误的，因此无法反编译导致错误。

分析上图汇编代码，容易得到，对输入的字符串中偶数位的进行异或，奇数位不变。

然后输入LHLHLHLHLHLHLHLHLHL，异或后即十九个L（这里我没注意，后面写脚本的时候以为是LR交替的，导致浪费了很多时间）。放进去跑一跑试试。

提示得到了303755。这里的话，结合题目mountain climbing想一想，还有就是L和R，一个左一个右。推测应该是输入LR组合，让这个数达到最大值。

回到IDA查看。

由rand函数获得随机值，

然后放入423D78中。最后输出的值就是423D78了。写脚本跑出来就行了。以IDA反编译的源码为基础，稍微改一改就ok了。

#include <stdlib.h>
#include <iostream>
using namespace std;
int main()
{   int i,j;
    int Sum=;
    int v7=;
    int v5=;
    int v3=;
    string flag;
    srand(0xc);    //rand函数包含在stdlib头文件中
    int Array[];
      for ( i = ; i <= ; ++i )
          {
            for (j = ; j <= i; ++j )
            {
                Array[ * i + j] = rand() % ;
            }
          }
          Sum+=Array[];
          while(v3<)         //判断哪个大，哪个大就加哪个
          {
                if(Array[ * (v7+) + v5]>Array[ * (v7+) + v5 + ])
                {
                    flag+="L";
                    Sum += Array[ * ++v7 + v5];
                }
                else
                {
                    flag+="R";
                    Sum += Array[ * ++v7 + ++v5];
                }
                v3++;
          }
       for(i=;i<flag.length();i++) if(i%==) flag[i]=flag[i]^;  //异或处理
       cout << flag;
    return ;
}