bugku-逆向-11、不好用的ce

下载程序，运行一下：

点确定，有会弹出一个新的窗口：

点击Command按钮，左上角的数字就会增加，大概是要我们点击一万次：

再用PEiD看一下有没有加壳：

并没有加壳，是MFC编程的小软件。所以我们用IDA打开，是没法查看伪代码的：

查看字符串也没有找到有用的信息，只有一个标题的From1：

直接用OD打开，动态调试：

MFC程序停在统一的外层入口处7770A9E0，直接Ctrl+G或者点击断点跳转到我们内层程序：

右键->查找->所有参考文本：

其实上面的DeZmqMUhRcP8NgJgzLPdXa就是加密后的flag，有人直接就知道它是flag了，但我开始没注意到，我是看到之前按我们运行程序的时候看到的字符串“点击一万次有flag”，点击它查看一下：

单步调试，发现程序调用了msvbvm60.rtcMsgBox（调用一个消息框）：

运行了这行汇编之后就会显示这个框：

点击确定之后，就到了这一行代码：

再往下就是返回msvbvm60.66051D33的程序领空：

返回到msvbvm60.66051D33中调用工程4模块的函数：

之后就是在msvbvm60模块中逐层的返回、交叉调用：

最终再回到最里层的函数：

它再调用工程4模块的函数：

这个函数再跳转到比较点击次数最终输出函数，00401880：jmp 工程4.00401C80：

往下到00401E21：test ah,0x40; 判断点击的次数，决定跳转的方向，测试ah的第7位（0100 0000）是否为1。ah的第7位是1，则说明它已经计数到了一万次，则test的结果是1，ZF标志位置0，不跳转，输出flag；否则ah的第7位不是1，则说明它还没有计数到了一万次，则test的结果是0，ZF标志位置1，跳转，不输出flag。
00401E24：je short 工程4.00401E97; 跳转，不输出flag。JE看零标志位，zf = 1则JE跳转，ZF = 0则JE不跳

所以我们只要在这修改标志位ZF、修改0x40的大小或者修改JE等多种方法阻止程序的跳转，让它正常输出flag即可：

我们直接把ZF标志位修改成0，让程序不跳转输出flag：

DeZmqMUhRcP8NgJgzLPdXa明显是加密后的flag，开始以为是Base64，结果解码失败：

后面觉得可能是Base家族中的其他编码方式：base32、base16、base58、base91、base92、base36、base62、base85、base128、base52、base56、base58、base94。百度搜了一下，发现是Base58编码，找到一个Base8在线解码的网站：http://www.metools.info/code/c74.html：

得到flag：flag{c1icktimes}。