前言#

第一次复现TX的题，没做之前感觉很难，但是做完之后还是很简单的。

本题的考点也许是：

minifilter的注册和通信
Base58+xor+Tea
SMC
junkcode

可能还有反调试，但是因为driverEntry里面的混淆太强了，没分析出来。不过也不需要分析这里就可以得出最后的内容。

题目描述#

1
小Q是一位热衷于PC客户端安全的技术爱好者，为了不断提升自己的技能，他经常参与各类CTF竞赛。某天，他收到了一封来自神秘人的邮件，内容如下：
2

3
“我可以引领你进入游戏安全的殿堂，但在此之前，你需要通过我的考验。打开这扇大门的钥匙就隐藏在附件中，你有能力找到它吗？”
4

5
### 评分标准：满分5分
6

7
（1）**在64位Windows10+系统**上运行exe, 找到正确的flag，作为答案提交（2分）。
8

9
（2）文档编写，详细描述解题过程，详述提供的解题程序的演示方法。（满1分）
10

11
（3）提供解题演示所用的源代码。编码工整风格优雅（1分）、注释详尽（1分）。
12

13
### 解题要求：
14

15
（1）**关闭Windows Defender等杀软、VBS、hyper-v后**，管理员运行exe（驱动需要自己解决签名问题）。
16

17
（2）解题得到正确的flag，以“flag{xxxxxxxxxxxxxxxxxxxxxx}”的形式提交。
18

19
（3）不得以任何方式暴力破解得到flag，解题注重分析过程。
20

21
（4）不得删改exe/sys的文件本身；不得使用任何文件和磁盘相关手段（比如同名文件占坑等方式）影响程序运行。
22

23
（5）必须使用64位Win10-Win11 22H2系统解题。
24

25
### 提交内容：
26

27
（1）flag（txt格式），可执行文件和运行说明（exe/dll/sys），文档（pdf或docx格式），代码（不限语言）打包压缩到一个zip文件中。
28

29
（2）zip文件命名格式：初赛-PC客户端+姓名+学校+手机号.zip。

总览#

该题目文件分为R3层和R0层。R3是和用户交互的CLI程序。R0是一个minifilter，其中对flag进行了最终校验。

先尝试打开看看具体的情况，以管理员启动exe：

446b34d4-b2bc-4aeb-878c-e5e082944587

不以管理员启动：

37646126-ce90-4d4b-8feb-97cb83f28d7a

然后进行具体分析：由于R0有tvm的混淆，很难看，因此先看R3为好。

R3#

直接看main函数

检查操作#

340810b2-520c-41a4-a931-1c8c458879a6

加密操作#

4137d3fd-0484-4f76-bb98-a626fa790229

在检查完ACE_开头之后，将Data异或然后放入Block，Block作为key在inputbase58后异或，base58函数会先进行换表base58加密然后加@并反转。以上过程都可以动态调试直接分析到，就不详细写了。

校验部分#

ae889741-9a71-4a52-b0ae-4b364083d7c0

这里发送最终的字符串给R0层做最终的校验。

因此R3层的解密为：

1
def solve():
2

3
    cipher = [0x33, 0x1B, 0x4F, 0x4B, 0x32, 0x34, 0x3E, 0x20, 0x41, 0x25, 0x33, 0x0D, 0x20, 0x21, 0x29, 0x44, 0x4F, 0x1B, 0x11, 0x2B, 0x0D, 0x46, 0x16, 0x01, 0x21, 0x35, 0x2D, 0x22]
4

5
    key = b"sxx"
6

7
    xor_result = ""
8
    for i in range(len(cipher)):
9
        xor_result += chr(cipher[i] ^ key[i % len(key)])
10

11

12
    print(f"[*] 1. 异或还原后结果: {xor_result}")
13

14

15
    reversed_str = xor_result[::-1]
16
    print(f"[*] 2. 翻转后结果: {reversed_str}")
17

18
    if reversed_str.startswith('@'):
19
        base58_str = reversed_str[1:]
20
    else:
21
        base58_str = reversed_str[:-1]
22
    print(f"[*] 3. 移除后缀后的 Base58 串: {base58_str}")
23

24
    ALPHABET = "abcdefghijkmnopqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ123456789"
25

26
    n = 0
27
    for char in base58_str:
28
        if char not in ALPHABET:
29
            print(f"[!] 警告：字符 '{char}' 不在 Base58 表中，请检查表顺序或密文！")
30
            return
31
        n = n * 58 + ALPHABET.index(char)
32

33
    res = []
34
    while n > 0:
35
        res.append(n % 256)
36
        n //= 256
37

38
    flag_body = bytes(res[::-1]).decode('ascii', errors='ignore')
39
    print(f"\n[+] 最终 Flag: ACE_{flag_body}")
40

41
if __name__ == "__main__":
42
    solve()

驱动初始化部分#

在main函数开头有一个ACEDriverSDK::`vftable’，打开之后发现是一个虚表

进行分析之后可得ACEDriverSDK结构：

1
00000000 struct ACESDK // sizeof=0x10
2
00000000 {
3
00000000     struct ACESDK_vtbl *lpVtbl;
4
00000008     HANDLE hPort;
5
00000010 };
6

7
00000000 struct /*VFT*/ ACESDK_vtbl // sizeof=0x68
8
00000000 {
9
00000000     __int64 (__fastcall *ScalarDeletingDestructor)(ACESDK *this, char flags);
10
00000008     __int64 (__fastcall *SetupAndConnectDriver)(ACESDK *this, const wchar_t *sysName, const wchar_t *svcName);
11
00000010     __int64 (__fastcall *FullDriverUninstall)(ACESDK *this, __int64);
12
00000018     _BOOL8 (__fastcall *startDriverService)(ACESDK *this, SC_HANDLE hSCManager, const WCHAR *svcName);
13
00000020     SC_HANDLE (__fastcall *stopService)(ACESDK *this, SC_HANDLE hSCManager, const WCHAR *svcName);
14
00000028     __int64 (__fastcall *InstallMinifilterService)(ACESDK *this, SC_HANDLE hSCManager, const WCHAR *svcName, const WCHAR *dbPath);
15
00000030     __int64 (__fastcall *UninstallService)(ACESDK *this, SC_HANDLE hSCManager, const WCHAR *svcName);
16
00000038     HRESULT (__fastcall *ConnectToDriverPort)(ACESDK *this);
17
00000040     __int64 (__fastcall *SendDriverCommand)(ACESDK *this, int cmdID, const void *inBuf, unsigned int inSize, LPVOID outBuf, DWORD outSize, DWORD *pRetSize);
18
00000048     __int64 (__fastcall *Unknown_48)(ACESDK *this);
19
00000050     int (__fastcall *Unknown_50)(ACESDK *this);
20
00000058     __int64 (__fastcall *Unknown_58)(ACESDK *this);
21
00000060     __int64 (__fastcall *sendData)(ACESDK *this, unsigned int dataLen, const void *data);
22
00000068 };

2bb1947c-c82d-408d-b88b-b5e4c72fd698

在testSend中和sendData中可以看到R3是如何跟R0交互的。

1
__int64 __fastcall testSend(ACESDK *a1)
2
{
3
  __int64 v2; // rax
4
  int v5; // [rsp+40h] [rbp-148h] BYREF
5
  char v6[40]; // [rsp+48h] [rbp-140h] BYREF
6
  _BYTE v7[256]; // [rsp+70h] [rbp-118h] BYREF
7

8
  v5 = 0;
9
  strcpy(v6, "This is TestHello from r3");
10
  memset(v7, 0, sizeof(v7));
11
  v2 = -1;
12
  while ( v6[++v2] != 0 )
13
    ;
14
  return a1->lpVtbl->SendDriverCommand(a1, 0x154000, v6, v2 + 1, v7, 256, (DWORD *)&v5);
15
}
16

17
__int64 __fastcall sendData(ACESDK *a1, unsigned int a2, const void *a3)
18
{
19
  unsigned int v7; // [rsp+40h] [rbp-438h] BYREF
20
  _BYTE v8[1036]; // [rsp+44h] [rbp-434h] BYREF
21

22
  memset(v8, 0, 0x400u);
23
  v7 = a2;
24
  memmove(v8, a3, a2);
25
  return a1->lpVtbl->SendDriverCommand(a1, 0x154004, &v7, 1028u, 0, 0, 0);
26
}
27
__int64 __fastcall SendDriverCommand(
28
        ACESDK *a1,
29
        int a2,
30
        const void *a3,
31
        unsigned int a4,
32
        LPVOID lpOutBuffer,
33
        DWORD dwOutBufferSize,
34
        DWORD *a7)
35
{
36
  DWORD inputBufferSize; // r15d
37
  _DWORD *inputBuffer; // rsi
38
  DWORD *v13; // rbx
39
  unsigned int v14; // edi
40
  DWORD BytesReturned; // [rsp+68h] [rbp+10h] BYREF
41

42
  BytesReturned = 0;
43
  inputBufferSize = a4 + 4;
44
  inputBuffer = operator new(a4 + 4);
45
  memset(inputBuffer, 0, inputBufferSize);
46
  *inputBuffer = a2;
47
  if ( a3 && a4 )
48
    memmove(inputBuffer + 1, a3, a4);
49
  v13 = a7;
50
  if ( a7 )
51
    *a7 = 0;
52
  v14 = FilterSendMessage(a1->hPort, inputBuffer, inputBufferSize, lpOutBuffer, dwOutBufferSize, &BytesReturned);
53
  if ( v13 )
54
    *v13 = BytesReturned;
55
  j_j_free(inputBuffer);
56
  return v14;
57
}

可以对照看出senddata中a2是具体内容。同时最终将一个数字(实际是R0判断输入是不是测试的依据)复制到了FilterSendMessage函数的输入前。FilterSendMessage是和minifilter交互的函数。

至此，R3分析完毕。

R0#

driverentry里面一堆混淆，看不懂，所以尝试从MessageNotifyCallBack来看，这里是传入消息的回调。

有一些花指令，可以尝试写个插件patch掉,：

1
rules:
2
  - name: advanced_lea_math_junk
3
    pattern:
4
      - "push $reg1"
5
      - "lea $reg1, [$mem1]"
6
      - "{lea $reg1, [$reg1 $op1 $mem2] | lea $reg1, [$reg1]}"
7
      - "jmp_inst: jmp $reg1"
8
      - "{E9|E8}"
9
      - "target: pop $reg1"
10
    condition:
11
      - "$op1 is None or $op1 in ['+', '-']"
12
      - "($target == $mem1 $op1 $mem2) if $mem2 is not None else ($target == $mem1)"
13
    replace:
14
      - "nop"
15

16
  - name: advanced_lea_math_junk_2
17
    pattern:
18
      - "push $reg1"
19
      - "lea $reg1, [$mem1]"
20
      - "lea $reg1, [$reg1 $op1 $imm2]"
21
      - "jmp_inst: jmp $reg1"
22
      - "{E9|E8}"
23
      - "target: pop $reg1"
24
    condition:
25
      - "$op1 in ['+', '-']"
26
      - "$target == $mem1 $op1 $imm2"
27
    replace:
28
      - "nop"
29

30
  - name: jmp_junk_target
31
    pattern:
32
      - "jmp_inst: jmp $target"
33
      - "{E9|E8}"
34
      - "target_loc: $any_inst"
35
    condition:
36
      - "$target == $target_loc"
37
    replace:
38
      - "nop"
39

40
  - name: pushfq_add_popfq_jmp_e8_pop
41
    pattern:
42
      - "push $reg1"
43
      - "mov $reg1, $imm1"
44
      - "pushfq"
45
      - "add $reg1, $imm2"
46
      - "popfq"
47
      - "jmp_inst: jmp $reg1"
48
      - "{E9|E8}"
49
      - "target: pop $reg1"
50
    condition:
51
      - "$target == ($imm1 + $imm2)&0xFFFFFFFFFFFFFFFF"
52
    replace:
53
      - "nop"
54

55
  - name: not_xchg_not
56
    pattern:
57
      - "not $reg1"
58
      - "{xchg $reg1, $reg2 | xchg $reg2, $reg1}"
59
      - "not $reg2"
60
    replace:
61
      - "xchg $reg1, $reg2"
62

63
  - name: mov_add_jmp
64
    pattern:
65
      - "push $reg1"
66
      - "mov $reg1, $imm1"
67
      - "pushfq"
68
      - "add $reg1, $imm2"
69
      - "popfq"
70
      - "jmp_inst: jmp $reg1"
71
      - "{E9|E8}"
72
    replace:
73
      - "push $reg1"
74
      - "mov $reg1, imm(($imm1 + $imm2)&0xFFFFFFFFFFFFFFFF)"
75
      - "jmp imm(($imm1 + $imm2)&0xFFFFFFFFFFFFFFFF)"

patch掉之后可能还有一些没匹配到的，尝试修复函数：

1
__int64 __fastcall sub_140009F83(__int64 a1, volatile void *a2, unsigned int a3, __int64 a4)
2
{
3
  __int64 result; // rax
4
  __int64 v5; // rsi
5
  __int64 v8; // rdx
6
  __int64 v10; // rt1
7
  unsigned __int64 v11; // rcx
8
  int v12; // r8d
9
  void *v13; // rbx
10
  int v14; // edx
11

12
  v10 = v5;
13
  v8 = v10;
14
  *(_QWORD *)(result - 1869574000) = v10;
15
  if ( v10 )
16
  {
17
    v11 = *(_QWORD *)result;
18
    result = a3 + v8;
19
    if ( result < v11 )
20
    {
21
      result += a4;
22
      if ( result < v11 )
23
      {
24
        result = (__int64)ExAllocatePoolWithTag(NonPagedPool, a3, ~a3);
25
        v13 = (void *)result;
26
        if ( result )
27
        {
28
          ProbeForRead(a2, a3, ~v12);
29
          memmove(v13, (const void *)a2, a3);
30
          doSomething((__int64)v13, a3, a4);
31
          ExFreePoolWithTag(v13, ~v14);
32
        }
33
      }
34
    }
35
  }
36
  return result;
37
}

基本上重要的就是doSomething这个函数了。进去之后是核心加密函数。其中进行了判断，如果是0x154000就xor并返回，如果不是，就进行Tea加密。大概是这样： 06506bbe-41d7-4abc-b9c6-c1feea651c66

Tea函数： 21465a71-ca32-4660-8e77-24322ffacda2

是和encdata进行判断。因此tea函数是具体加密，同时也拿到了key：ACE6

按顺序来说不会这么顺利，因为全都要解决一下混淆的问题，所以我一开始是从上到下全部看一遍的。

结果发现了一个SMC： 63c4f62d-57ab-4998-88be-1f596170e222

8b044c17-05c8-4edc-8020-0e8747ac408f

跟一下patchData的来源：

811de51a-7db9-41fc-b513-d105b9056643

但是直接计算还原有点麻烦，我感觉直接dump更方便。使用windbg查看对应内存然后dump：

1
mov  rax, rsp
2
mov  [rax+8], rbx
3
mov  [rax+10h], rbp
4
mov  [rax+18h], rsi
5
mov  [rax+20h], rdi
6
push r13
7
mov  r13, rdx
8
mov  ebx, [rdx]
9
xor  r11d, r11d
10
mov  edi, [rdx+4]
11
mov  r8, rcx
12
mov  esi, [rdx+8]
13
mov  ebp, [rdx+0Ch]
14
mov  r9d, [rcx]
15
lea  edx, [r11+20h]
16
mov  r10d, [rcx+4]
17

18
BACK:
19
mov ecx, r10d
20
lea r11d, [r11-61C88647h]
21
shr ecx, 5
22
mov eax, r10d
23
add ecx, edi
24
shl eax, 4
25
add eax, ebx
26
xor ecx, eax
27
lea eax, [r11+r10]
28
xor ecx, eax
29
add r9d, ecx
30
mov ecx,r9d
31
mov eax,r9d
32
shl eax,4
33
shr ecx,5
34
xor ecx,eax
35
mov rax,r11d
36
shr rax,0bh
37
add ecx,r9d
38
and eax,3
39
mov eax,dword ptr [r13+rax*4]
40
add eax,r11d
41
xor ecx,eax
42
add r10d,ecx
43
sub rdx,1
44
jne Back
45

46
pop r13
47
mov rbx,[rsp+8]
48
mov rbp, [rsp+10h]
49
mov rsi, [rsp+18h]
50
mov rdi, [rsp+20h]
51
mov [r8], r9d
52
mov [r8+4], r10d
53
retn

所以直接逆：

1
import struct
2

3
def solve(cipher):
4

5
    key = b"sxx"
6

7
    xor_result = ""
8
    for i in range(len(cipher)):
9
        xor_result += chr(cipher[i] ^ key[i % len(key)])
10
    reversed_str = xor_result[::-1]
11

12
    if reversed_str.startswith('@'):
13
        base58_str = reversed_str[1:]
14
    else:
15
        base58_str = reversed_str[:-1]
16

17
    ALPHABET = "abcdefghijkmnopqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ123456789"
18

19
    n = 0
20
    for char in base58_str:
21
        if char not in ALPHABET:
22
            print(f"[!] 警告：字符 '{char}' 不在 Base58 表中，请检查表顺序或密文！")
23
            return
24
        n = n * 58 + ALPHABET.index(char)
25

26
    res = []
27
    while n > 0:
28
        res.append(n % 256)
29
        n //= 256
30

31
    flag_body = bytes(res[::-1]).decode('ascii', errors='ignore')
32
    print(f"\n[+] 最终 Flag: ACE_{flag_body}")
33

34
def encrypt_hybrid(pt, key):
35
    delta = 0x9E3779B9
36
    m = 0xFFFFFFFF
37
    v0, v1 = pt[0] & m, pt[1] & m
38
    s = 0
39
    for _ in range(32):
40
        s = (s + delta) & m
41
        v0 = (v0 + ((s + v1) ^ (key[0] + (v1 << 4)) ^ (key[1] + (v1 >> 5)))) & m
42
        v1 = (v1 + ((s + key[(s >> 11) & 3]) ^ (v0 + ((v0 << 4) ^ (v0 >> 5))))) & m
43
    return (v0, v1)
44

45
def decrypt_hybrid(ct, key):
46
    delta = 0x9E3779B9
47
    m = 0xFFFFFFFF
48
    v0, v1 = ct[0] & m, ct[1] & m
49
    s = (delta * 32) & m
50
    for _ in range(32):
51
        v1 = (v1 - ((s + key[(s >> 11) & 3]) ^ (v0 + ((v0 << 4) ^ (v0 >> 5))))) & m
52
        v0 = (v0 - ((s + v1) ^ (key[0] + (v1 << 4)) ^ (key[1] + (v1 >> 5)))) & m
53
        s = (s - delta) & m
54
    return (v0, v1)
55

56
if __name__ == "__main__":
57
    key = [0x41, 0x43, 0x45, 0x36]
58
    ct = (0x0EC367B8, 0xC9DA9044, 0xDA6C2DEB, 0x88DDC9C3, 0x32A01575, 0x231DD0B4, 0x4B9E8A74, 0xD75D3E74, 0xEAAB8712, 0xE704E888, 0xE01A31AC, 0xECAE205C, 0xA7BE7467, 0x0C6252A3, 0x1AEFEC4E, 0xC40DED44, 0xC3C842CC, 0xDE4A0C0E, 0x7C24F3FC, 0x8FB8D001, 0x11153E6E, 0x530ED15C, 0xF4214811, 0xBEB517E0, 0x63F91634, 0x4D96F8A5, 0xFE23EAC8, 0x2C607ADF, 0xCC43D85C, 0xFF186C5B, 0x8763E1A5, 0x9187BD58, 0x87D1069B, 0xD7878D7B, 0x836E6B68, 0x55A0C63F, 0xD979FDB3, 0x3E524DEE, 0x7AB35C82, 0xA2F4DA8D, 0x1708BA4C, 0x710653E6)
59
    result = bytearray()
60
    for i in range(0, len(ct), 2):
61
        dt = decrypt_hybrid((ct[i], ct[i + 1]), key)
62
        result.append(dt[0] & 0xFF)
63
        result.append(dt[1] & 0xFF)
64
    result = bytes(result).rstrip(b'\x00')
65
    printable = ''.join(chr(b) if 0x20 <= b < 0x7f else '.' for b in result)
66
    solve(list(result))
67
# [+] 最终 Flag: ACE_We1C0me!T0Z0Z5GamESecur1t9*CTf

pRism的小站

前言#

题目描述#

总览#

R3#

检查操作#

加密操作#

校验部分#

驱动初始化部分#

R0#