一串字符的解密

    无聊，逛博客(http://hi.baidu.com/wordexp/blog/item/f33479433a1bad1873f05d99.html)的时候发现一串有技巧的字符串:

000102030405060708090A0B0C0D0E0F
00:526172211A0700CF907300000D000000
10:0000000077B77420902B00BA00000038
20:010000024FDBC8236865393C1D330600
30:2000000043432E45584500F010A96708
40:150D10BE0D66F3DA083C2BF0286D0DC9
50:C0DAD1D42D4A87588829C86BF07D437B
60:5234BF0A88FC3B5221CD8FC4363F09B5
70:EA1D375068762F51D4BF078484C0CC99
80:09F479EA3C7AAC33D266424AE7C063CB
90:B82A07A1F75AD73AE402E209FC1323C0
A0:C588C60E76B3611CEE160D58C7829C0A
B0:6443DFB6411E8EA14B24BA9B1E65D9FB
C0:43A17725D3AA512F512C4319C74F903F
D0:824F15DA6DBF6E0397FBE7377A4D9D3B
E0:E110E155C8AB8B847ED52B853B11DB22
F0:7836B5F57F44C44F28C43D7B00400700

然后看了下面的x牛回复的汇编我很迷茫，介个怎么会变成那个呢？

我很好奇，接着我就开始挣扎了。中间问了好多人。最后终于眉目来了。当然知道了一些细节后，实际过程也就明朗了。

这里只是个技巧，老鸟请飘过。。。。。。

1.首先把这串数据除了第一行和那些偏移值外全部粘贴到WinHex中，得到

52 61 72 21 1A 07 00 CF    90 73 00 00 0D 00 00 00  Rar!...ϐs......
00 00 00 00 77 B7 74 20     90 2B 00 BA 00 00 00 38  ....w·t +.º...8
01 00 00 02 4F DB C8 23    68 65 39 3C 1D 33 06 00  ....OÛÈ#he9<.3..
20 00 00 00 43 43 2E 45     58 45 00 F0 10 A9 67 08   ...CC.EXE.ð.©g.
15 0D 10 BE 0D 66 F3 DA   08 3C 2B F0 28 6D 0D C9  ...¾.fóÚ.<+ð(m.É
C0 DA D1 D4 2D 4A 87 58   88 29 C8 6B F0 7D 43 7B  ÀÚÑÔ-J‡Xˆ)Èkð}C{
52 34 BF 0A 88 FC 3B 52    21 CD 8F C4 36 3F 09 B5  R4¿.ˆü;R!͏Ä6?.µ
EA 1D 37 50 68 76 2F 51     D4 BF 07 84 84 C0 CC 99  ê.7Phv/QÔ¿.„„ÀÌ™
09 F4 79 EA 3C 7A AC 33    D2 66 42 4A E7 C0 63 CB  .ôyê<z¬3ÒfBJçÀcË
B8 2A 07 A1 F7 5A D7 3A    E4 02 E2 09 FC 13 23 C0  ¸*.¡÷Z×:ä.â.ü.#À
C5 88 C6 0E 76 B3 61 1C    EE 16 0D 58 C7 82 9C 0A  ňÆ.v³a.î..XÇ‚œ.
64 43 DF B6 41 1E 8E A1    4B 24 BA 9B 1E 65 D9 FB  dC߶A.Ž¡K$º›.eÙû
43 A1 77 25 D3 AA 51 2F    51 2C 43 19 C7 4F 90 3F  C¡w%ÓªQ/Q,C.ÇO?
82 4F 15 DA 6D BF 6E 03    97 FB E7 37 7A 4D 9D 3B  ‚O.Úm¿n.—ûç7zM;
E1 10 E1 55 C8 AB 8B 84    7E D5 2B 85 3B 11 DB 22  á.áUÈ«‹„~Õ+…;.Û"
78 36 B5 F5 7F 44 C4 4F     28 C4 3D 7B 00 40 07 00  x6µõDÄO(Ä={.@..

可以发现是一个开头有一个Rar标志，中间寻找可以发现CC.EXE。把它保存为.rar格式文件。

2.解压该rar文件，得到CC.EXE

3.使用LordPE查看该CC.EXE的PE信息。可以发现程序入口点是000000F8.考虑到快对齐与文件对齐相等，直接在WinHex打开CC.EXE并定位到000000F8处，把000000F8处到结束的字符都拷贝下来，拷贝到WinHex中。命名为hehe.bin

4.习惯有时候跑到Linux下去玩玩，用hexdump看一下。

[root@localhost ~]# hexdump -C hehe.bin
00000000  60 e8 0e 00 00 00 8b 44  24 0c 05 b8 00 00 00 ff  |`......D$.......|
00000010  00 33 c0 c3 5e 64 a1 30  00 00 00 05 00 08 00 00  |.3..^d.0........|
00000020  8b f8 a5 a5 a5 a5 50 33  c0 64 ff 30 64 89 20 cc  |......P3.d.0d. .|
00000030  58 64 a3 00 00 00 00 83  c4 04 61 c3 00 00 00 00  |Xd........a.....|

5.使用ndisasm对这段字符进行操作。

[root@localhost ~]# ndisasm -u hehe.bin > hehe.txt

6.最终得到如下情景，与博客中下面x的那段汇编代码基本一致。

[root@localhost ~]# cat hehe.txt | more
00000000  60                 pushad
00000001  E80E000000        call dword 0x14
00000006  8B44240C          mov eax,[esp+0xc]
0000000A  05B8000000        add eax,0xb8
0000000F  FF00              inc dword [eax]
00000011  33C0              xor eax,eax
00000013  C3                ret
00000014  5E                pop esi
00000015  64A130000000      mov eax,[fs:0x30]
0000001B  0500080000        add eax,0x800
00000020  8BF8              mov edi,eax
00000022  A5                movsd
00000023  A5                movsd
00000024  A5                movsd
00000025  A5                movsd
00000026  50                push eax
00000027  33C0              xor eax,eax
00000029  64FF30            push dword [fs:eax]
0000002C  648920            mov [fs:eax],esp
0000002F  CC                int3
00000030  58                pop eax
00000031  64A300000000      mov [fs:0x0],eax
00000037  83C404            add esp,byte +0x4
0000003A  61                popad
0000003B  C3                ret

因为见识不够，不知道是不是这种方式来的，就当作参考哦，时间有限，就到此咯，谢谢。