[CTF题目总结-Reverse篇]Reversing.Kr：FPS

Reverse is a cup of hot tea ,we need to drink it slowly.

：创造是极客唯一的属性

一、题目分析

一个枪战游戏，试玩发现场景内很多“潇洒哥”并且可以被清除。但是游戏体验不佳（20-30枪才能打死一个“潇洒哥”以及移动速度慢）。
IDA载入分析程序逻辑：
前面一大堆代码都是在载入图片并初始化场景，可以直接跳过。
然后在8F90和F6B0地址空间初始化48个“潇洒哥”对象内存和2个不死对象内存（每个占据528字节），并进入windows桌面程序的消息循环机制(PeekMessage)，从这里我们就走到核心逻辑了。
通过关键字符串“Game Over! You are dead"找到血量判断节点块，然后找到通过跳转分支顺藤摸瓜进入flag显示节点块。很自然猜到"Game Clear!"后的参数就是flag，然而是一段乱码。
查看交叉引用发现对flag有异或，相应异或字节为各“潇洒哥”对象的第500个内存字节，这些字节内容是动态写入的（起码得在“潇洒哥”被初始化之后吧！），那么运行程序并写个IDC脚本打印字节内容（规律是4*i（0<=i<=49）），最后再写个脚本进行异或就得到flag。
然而flag只能算作小菜，crack才是目标。
所以在“具体思路”环节我会根据自己的理解把整个程序的逻辑理顺，并加入一些额外却很有趣的逆向破解（无限血量、一秒清怪）。

FPS运行时画面：

二、具体思路

说明：
1.共有48个“潇洒哥”对象和2个不死对象，但本着语言简洁的原则，后文会一直用“潇洒哥”统称这50个对象。
2.由于IDA每次运行程序的基址都有所不同，故后文的地址都是RVA（即绝对地址后四位）

IDA载入分析节点块功能：
1.场景初始化。建造矩形块，注册窗口

可以看到图片对象所占内存从7060到8D90延伸，并且每个占0x200个字节。（底下12张图片加载过程恰好与之对应，前面三张图片的初始化则另说。）

2.对48个“潇洒哥”和2个不死对象（估计是韩国女明星的画像和中间那个蒙古包）进行初始化：起始地址为8F90,结束地址为F6B0，占据0x210个字节空间。
为方便记忆，把起始地址字符串改为“monsterStart_FA8F90”，结束地址字符串改为“monsterEnd_FAF6B0”。

3.这里开始进入消息循环。

4.根据关键字符串“Game Over! You are dead”可以判定字节7020即为血量，同时另一节点块“loc_FA2F4C”就通向胜利，也就是说，flag在这里！
同样，把血量字符串改为“myHP_FA7020”。

5.跟进到关键过程sub_FA39C0，很显然“Game clear”之后的参数asc_FA7028就是flag。从9194到F8B4进行50次比较，若每个比较字节皆不为1（即0）则打印flag，据此可判定每个“潇洒哥”对象的第516个字节为其活着的凭证——1则活，0则死（0x9194-0x8F90=516）。
但是flag是一段乱码，查看交叉引用发现有异或操作，然而手动修改“潇洒哥”内存并没有触发此异或（得不到正确的结果），故而我们只好自己去内存里查看对应的异或字节流并进行脚本异或了。
修改第一个“潇洒哥”生命字符串为“monsterHPStart_FA9194”，最后一个不死对象生命字符串为“monsterHPEnd_FAF8B4”，flag字符串为“flag_FA7028”。

6.根据交叉引用进入到过程sub_FA3400。这里负责完成“killing 潇洒哥”和flag字节异或，根据偏移量可以判定异或字节为每个“潇洒哥”对象的第500个字节。由于“潇洒哥”对象是在运行时被初始化的，故而我们无法静态分析出flag。
那么下个断点运行程序，用IDC脚本dump下内存。

7.dump出结果如下：每个字节值形如4*i（0<=i<=50）（不好意思，到这里地址前缀就突然变为17了，我只是运行了一遍ORZ）

8.其实不用dump也可以，直接IDC异或就可以跑出flag，如下：

9.flag已经找到，接下来我们分析下剩余的程序逻辑并开个外挂。
逐一判断50个对象是否死亡，如果仍然活着则可与玩家发生碰触（估计碰触逻辑在2390和2460两个过程中实现），“潇洒哥”每与玩家碰触一次，玩家HP-2。
那么想要无限血量的话，我们修改这里的2为0即可。

可以看到玩家已经和“潇洒哥”缠绵在一起了，然而血量还是纹丝不动。真乃“风雨不动安入山”。

10.这里是开枪逻辑，开枪有后坐力和音效，并且前者和后两者之间是有时间间隔的。

11.最后我们来个瞬时清怪吧，其实也很简单，写个脚本把所有“潇洒哥”直接kill就行了。注意不能把50个对象全杀掉，因为那会导致游戏直接结束。
而且我发现这个游戏是有怒气/buff加成的，每杀掉一个“潇洒哥”会增加自身移动速度以及提升攻击力，具体表现为：
a.开始走路如蜗牛，到最后简直是健步如飞了。
b.击杀一个“潇洒哥”开始需要20多枪，最后只需3枪。

三、题目总结

这个题让我第一次真正见识到IDA的强大，从此弃坑od。