【逆向实战】从CTF题目crypt.exe剖析RC4算法在软件保护中的应用与破解-程序员充电站

1. RC4算法基础：从原理到CTF实战

第一次接触RC4算法是在分析某个网络协议时，当时就被它简洁高效的设计所吸引。后来在CTF比赛中频繁遇到这个算法，才发现它在软件保护领域同样应用广泛。RC4本质上是一种流密码，通过生成伪随机密钥流与明文进行异或操作实现加密。它的核心优势在于实现简单、速度快，特别适合资源受限的环境。

记得我刚开始学习RC4时，最困惑的就是它的密钥调度算法（KSA）和伪随机生成算法（PRGA）。后来发现用洗牌来类比就很好理解：KSA阶段就像准备一副扑克牌（初始化S盒），PRGA阶段则是不断从这副牌中抽牌组合（生成密钥流）。在crypt.exe这道题中，开发者正是使用了这种标准RC4流程来保护关键数据。

2. 逆向分析crypt.exe：定位加密逻辑

拿到crypt.exe后的第一步是用Exeinfo PE检查基础信息，确认是64位无壳程序后，就可以放心用IDA Pro打开了。在main函数中，我注意到几个关键线索：

字符串"12345678abcdefghijklmnopqrspxyz"的复制操作
两个关键函数sub_140001120和sub_140001240的调用
最后的异或比较判断if语句

通过交叉引用分析，可以确定sub_140001120对应RC4的KSA阶段，而sub_140001240则是PRGA阶段。这里有个实用技巧：在IDA中按F5反编译后，可以对照标准RC4实现来验证函数功能。比如KSA函数中典型的256次循环初始化S盒，以及后续的密钥调度操作，都是RC4的明显特征。

3. 密钥提取与算法还原实战

分析过程中最关键的突破点是发现程序使用固定字符串作为RC4密钥。在main函数中可以看到：

char Str[]="12345678abcdefghijklmnopqrspxyz"; sub_140001120(v9,Str,strlen(Str));

这行代码直接将Str作为密钥传入KSA函数。在实际软件保护中，这种硬编码密钥的方式很常见，但也最容易破解。通过动态调试可以验证这一点：在调用sub_140001120前设置断点，查看传入的Str值是否与代码一致。

另一个重要发现是加密后的数据比较逻辑：

if ( ((unsigned __int8)v10[i] ^ 34) != (unsigned __int8)byte_14013B000[i] )

这里透露了两个信息：

密文存储在byte_14013B000中
程序对RC4输出做了额外的异或34操作

4. 编写解密脚本的实用技巧

根据分析结果，解密需要逆向整个流程：

用相同密钥初始化RC4状态
对密文进行RC4解密
将结果与0x22(34)异或

我最初写的解密脚本直接移植了题目中的函数：

def rc4_decrypt(ciphertext, key): # KSA阶段 S = list(range(256)) j = 0 for i in range(256): j = (j + S[i] + key[i % len(key)]) % 256 S[i], S[j] = S[j], S[i] # PRGA阶段 i = j = 0 plaintext = [] for char in ciphertext: i = (i + 1) % 256 j = (j + S[i]) % 256 S[i], S[j] = S[j], S[i] plaintext.append(char ^ S[(S[i] + S[j]) % 256]) return bytes(plaintext)

但后来发现Python有现成的Crypto库可以简化操作：

from Crypto.Cipher import ARC4 cipher = ARC4.new(b"12345678abcdefghijklmnopqrspxyz") decrypted = cipher.decrypt(bytes([x ^ 0x22 for x in ciphertext]))