考点多线程查壳脱壳进入ida直接进入main函数sub_4110FF是输入flag的部分flag有36个字符main函数8-13行有两个线程hObject、Thread这段代码是使用C语言风格的Windows API函数来创建互斥体Mutex、线程以及关闭句柄的操作。下面是对每行代码的详细解释::hObject CreateMutexW(0, 0, 0);这行代码在全局命名空间中创建一个互斥体Mutex。CreateMutexW是Windows API中的一个函数用于创建一个内核对象用于同步多个线程对共享资源的访问确保同一时间只有一个线程可以访问资源。参数说明第一个参数为LPSECURITY_ATTRIBUTES lpMutexAttributes指定了互斥体的安全属性默认设为0表示使用默认安全属性。第二个参数为BOOL bInitialOwner指定创建线程是否立即拥有该互斥体。设为0意味着调用者不立即拥有互斥体。第三个参数为LPCWSTR lpName为互斥体指定一个名称这里也是0表示创建一个未命名的本地互斥体。::hObject是一个全局或静态变量用于存储新创建的互斥体的句柄。j_strcpy(Destination, Source);这行代码似乎是用来复制字符串的但j_strcpy并不是标准库中的函数可能是自定义的或特定库中的函数其作用类似于strcpy将Source指向的字符串复制到Destination指向的缓冲区中。hObject CreateThread(0, 0, StartAddress, 0, 0, 0);创建一个新的线程。CreateThread是Windows API中的函数用于创建一个新的线程并执行指定的函数。参数说明第一个参数为LPSECURITY_ATTRIBUTES lpThreadAttributes同上指定线程的安全属性这里为0使用默认设置。第二个参数为SIZE_T dwStackSize指定线程栈的大小设为0表示使用系统默认大小。第三个参数为LPTHREAD_START_ROUTINE lpStartAddress是指向线程开始执行的函数地址这里是StartAddress。第四个参数为LPVOID lpParameter传递给线程函数的参数这里为0没有传递参数。第五个参数为DWORD dwCreationFlags控制线程创建的标志设为0表示无特殊标志。第六个参数为LPDWORD lpThreadId输出参数返回新线程的ID这里没有使用所以传入了0。hObject被重新赋值为新创建线程的句柄。Thread CreateThread(0, 0, sub_DA119F, 0, 0, 0);同样是创建一个线程但这次执行的函数是sub_DA119F。Thread变量用于存储这个新线程的句柄。CloseHandle(hObject);关闭之前创建的互斥体或线程的句柄。CloseHandle是Windows API中的函数用于释放与句柄关联的系统资源。这里关闭的是第一个线程的句柄尽管变量名是hObject但根据上下文应该是线程句柄。CloseHandle(Thread);关闭第二个线程的句柄释放与之关联的系统资源。总结来说这段代码首先创建了一个互斥体然后创建了两个线程每个线程都去执行不同的函数StartAddress和sub_DA119F最后关闭了这两个线程的句柄以及可能误标为互斥体的句柄。注意互斥体创建后并未显示地在代码中使用也没有进行线程间的同步操作这可能是个疏忽或者示例代码片段的一部分。此外字符串复制操作与线程创建看起来是独立的操作没有直接关联。sub_411190函数off_418004可查看是”TOiZiZtOrYaToUwPnToBsOaOapsyS“Destination就是原始flagflag经加密后得”TOiZiZtOrYaToUwPnToBsOaOapsyS“回到main函数10-11行分析加密过程线程1进入StartAddresssub_41112C总结线程1处理了flag中的29位从后往前逐个进行sub_41112C处理。对照键盘标QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnmflag字符为大写时候新字符 键盘表[ 原大写字母 - 38 ]小写时新字符 键盘表[ 原大写字母 - 96 ]线程2进入sub_41119F线程2就是纯干扰线程没有加密只是递减dword_418008线程1中也有Sleep(100u)休眠100ms和--dword_418008所以两个线程是交替进行的猜测下标为奇数或者偶数时加密验证#include Stdio.h #include String.h //参数一目标字符 参数二目标字符串 int find(char yuan,char Aim_array[]){ for(int i 0;i strlen(Aim_array);i){ if(Aim_array[i] yuan) return i; } } int main(){ char source[] TOiZiZtOrYaToUwPnToBsOaOapsyS; //flag 加密后的结果 char off_418000[] QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm; //替换表 //在 off_418000 中找到与 source[i] 相同的字符取出下标 与 96 或 38 进行加减操作 char flag[29] ; for(int i 0;i 29;i){ //先执行哪个线程我们不知道所以就都试一遍i % 2 1或i % 2 0 if(i % 2 1){ if(source[i] A source[i] Z){ //大写执行 //因为原先的小写字符执行完变成大写了 所以不能像IDA中的代码 flag[i] find(source[i],off_418000) 96; }else{ //小写执行 flag[i] find(source[i],off_418000) 38; } }else{ flag[i] source[i]; } } for(int i 0;i 29;i){ printf(%c,flag[i]); } return 0; }i % 2 1是对的所以下标为奇数从0开始时进行线程1加密flag运行得ThisisthreadofwindowshahaIsESflag{ThisisthreadofwindowshahaIsES}只有35个字符因为线程1只操作了30位。但是flag有36个字符差一个未知的每个字母都猜一遍flag{ThisisthreadofwindowshahaIsESE}参考 文章BUUCTF逆向题Youngter-drive-CSDN博客Youngter-drive-CSDN博客