DASCTF May出题人挑战赛

WER (windows error reporting)机制

一上来看见这么多参数,我以为是ECC算法,找了半天的解法。。


结果这题并不是

这里运用了一个WER的机制

即是WER机制调用指定设置恢复回调。

而在ida 引入了RegisterApplicationRecoveryCallback函数

一个恢复回调函数

在程序引发错误的时候从这个函数这里开始

对这个函数进行交叉引用


此处有一个messagebox 内容为correct

推断此处即为flag加密点

简单的小异或

算出来flag

1
2
3
4
5
flag=''
data=[0x05, 0x03, 0x55, 0x05, 0x04, 0x07, 0x5E, 0x54, 0x05, 0x07, 0x50, 0x02, 0x03, 0x53, 0x5F, 0x50, 0x53, 0x50, 0x53, 0x05, 0x55, 0x00, 0x54, 0x55, 0x57, 0x03, 0x05, 0x02, 0x52, 0x50, 0x51, 0x53]
for i in data:
    flag+=chr(i^ord('f'))
print(flag)