180728 逆向-SMC出题笔记

在某黑哥的指示下给他加紧出两个题目~

最先想到的就是34c3ctf时做过的SMC题目，那个随机数混杂着自解密真的是让我久久无法忘怀

SMC题目的核心就在于自解密时的key
如果key不提供，那么考点就在于大量x86汇编中一般\x00出现的是最多的
而这需要基于一定量的代码之上才能猜出，而且这种题目相对而言可玩的花招要少很多

于是选择了将key由一个.init_array中的函数动态生成

下一步是自解密代码如何加密放在程序中
由于我们只能写出解密代码（编译前的高级语言），因此有两种方法
一种是先写好代码，编译后令程序将其加密，然后作为data输出字节码，最后将字节码保存在目标程序中
第二种是直接写目标程序，将需要加密的代码段通过Patch来重写。这一点作为逆向选手来说，IDC/IDAPYTHON脚本的Patch是驾轻就熟了，所以我选择了后者

Patch的时候想起来IDC对数组的支持非常反人类，明明语法类C，却不具备数组功能，查了一下据说需要使用Array函数来创建，试了一下也没成功，直接换IDAPython
只要记住API，IDAPython好用多了嘛XD

脚本：

def patch(start, end, key):
    n = 0
    while(start + n!=end+1):
        addr = start + n
        PatchByte(addr, Byte(addr)^key[n%len(key)]
        n += 1
    print("%d Byte has been changed" % n-1)

搞好以后运行疯狂报SIGABRT
动调以后发现是.text段不具备写权限
同样的，如果使用第一种方法，那么.data段解密完成以后是不具备执行权限的

因此需要使用mprotect来修改页属性

理论上来说，应该可以直接修改section的属性，但是我用010Editor查看的时候并对不上号，不知道问题出在哪里..

而mprotect操作的单位必须是页，第一个参数必须指向页起始地址。
最坑的是这些系统函数执行失败并不会报异常，而是返回-1，并设定perror的值

纠结许久以后找到一个示例

  long pageSize = sysconf(_SC_PAGESIZE);
  void *pageStart = (void*)((long)p - (long)p % pageSize);

其中p是目标地址（的指针）

然后通过mprotect(pageStart, pageSize, PROT_WRITE|PROT_EXEC)即可设置可写可执行属性了