仔细看了这道题之后,觉得这道题不应该成为VM,他没有VM的结构和各种handler,但是他反而是有了很多的混淆,那么我们第一步先根据文章修改function size。
    文章链接:https://www.dllhook.com/post/217.html

    IDAPro F5出现too big function 解决-macOS-优雅人生.pdf

    将这个标记位修改完成之后,我们就能正常查看整个函数和进行F5反编译了,但是速度很慢。
    耐性等待就好,只反编译一次就够用了。
    image.png
    反编译完成之后我们可以看到,基础的输入输出,判断长度和运算都没变,而且确实没有了VM结构。反而多了一堆异或运算。那么我们先确定这些异或运算会不会影响我们的输入输出。
    image.png
    随便点击几个可以发现他是迭代异或下去的,然而数据在我们对比的数据后门很多,那么就说明这是不影响我们输入输出的东西,就可以当做垃圾代码除掉了。(先将F5得到的代码全选保存成TXT文档)

    1. import struct
    2. import os
    3. import re
    5. f = open("origin_source.txt", "r")
    6. wf = open("de_source.txt", "w")
    7. for i in range(25036):
    8.     tmp = f.readline().strip()
    9.     if "byte_6941" in tmp:
    10.         wf.write(tmp + "\n")
    11.         print tmp
    12. f.close()
    13. wf.close()

    image.png

    除去之后就只剩这些与运算相关的数据了,但是这里因为他用的全局变量来存储的flag字符串,所以我们没有办法吧byte_xxxxx合并为一个数组,那么我们就用正则去匹配合并好了,同样也是只有简单运算,合并好了之后倒着运算一遍就出来结果了。

    1. import struct
    2. import os
    3. import re
    5. byte_overflow = lambda x: x & 0xff
    6. cipher_arr = [192, 133, 249, 108, 226, 20, 187, 228, 13, 89, 28, 35, 136, 110, 155, 202, 186, 92, 55, 255, 72, 216, 31,
    7.               171, 0xa5]
    8. op_switch = {'+=': lambda eindex, data: cipher_arr[eindex] - data, '-=': lambda eindex, data: cipher_arr[eindex] + data,
    9.              '^=': lambda eindex, data: cipher_arr[eindex] ^ data, '++': lambda eindex, data: cipher_arr[eindex] - 1,
    10.              '--': lambda eindex, data: cipher_arr[eindex] + 1}
    11. f = open("de_source.txt", "r")
    12. instruction = []
    13. for i in range(2415):
    14.     tmp = f.readline().strip()
    15.     result = re.findall("byte_6941(.{2})\s(.{2})\s(.+);|(.{2})byte_6941(.{2})", tmp)[0]
    16.     if len(result) == 5:
    17.         # print result
    18.         instruction.append(list(result))
    19.     else:
    20.         print tmp
    21. # print instruction
    22. instruction = instruction[::-1]
    23. for i in range(len(instruction)):
    24.     if instruction[i][0] != '':
    25.         vm_index = int(instruction[i][0], 16)
    26.     else:
    27.         vm_index = int(instruction[i][4], 16)
    28.     if instruction[i][1] != '':
    29.         vm_optation = instruction[i][1]
    30.     else:
    31.         vm_optation = instruction[i][3]
    32.     if instruction[i][2] != '':
    33.         if instruction[i][2].startswith("0x"):
    34.             vm_data = int(instruction[i][2].strip("u"), 16)
    35.         else:
    36.             vm_data = int(instruction[i][2].strip("u"), 10)
    37.     else:
    38.         vm_data = None
    39.     cipher_arr[vm_index] = op_switch[vm_optation](vm_index, vm_data)
    40. print "".join(map(chr, map(byte_overflow, cipher_arr)))
    41. f.close()