171209 逆向-JarvisOJ（病毒数据分析）（3）

1625-5 王子昂 总结《2017年12月9日》 【连续第435天总结】
A. JarvisOJ-Re-病毒数据分析（3）
B.
动态调试发现tea前后内容如下
key：

29 23 BE 84 E1 6C D6 AE 87 EF 80 7C B0 FF 12 D2

明文：

E4 3B 05 00 62 00 75 00

buffer：

C0 00 67 02 D0 0F 67 02

密文：

38 21 46 A8 C9 02 F1 02

详细分析了一下算法

大体上是先对明文的前8个字节进行TEA加密，结果与buff进行异或
然后结果与后8个字节的明文进行异或，将结果再次进行TEA加密
加密结果再与后8个字节的明文进行异或
如此循环

buff作为IV向量来扰动整个加密，因此应该很难还原才对

没看出来WP中的tea_encrypted_data是怎么来的……

自己找了好几个C++的TEA算法实现依次尝试，都没有得到如期的结果……
明天直接复制WP的代码试试能否还原出源文件，然后再一步一步逆推吧

这个题目一定要攻克=A=

C. 明日计划
JarvisOJ