CTF-REVERSE练习之脱壳分析

最新推荐文章于 2024-08-27 04:12:17 发布
最新推荐文章于 2024-08-27 04:12:17 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/121608522
版权
本文介绍了CTF中的逆向分析实践,特别是针对加了UPX壳的程序进行手动脱壳的过程。内容涵盖加壳与脱壳概念,UPX壳的简介,以及通过Ollydbg进行的脱壳步骤,包括设置断点、识别入口点、保存dump文件和使用ImportREC修复输入表,最终成功脱壳并确保程序正常运行。
摘要由CSDN通过智能技术生成

目录

预备知识

相关实验

本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。

在自然界中,植物用壳来保护种子,动物用壳来保护身体等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。他们附加在原程序上通过Windows加载器载入内存后,先于原始程序的执行,得到控制权,执行过程中对原始程序进行解密和还原操作,还原后再把控制权交给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可防止程序被静态反编译。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“壳”了。
按照壳的功能特性,壳可以划分为压缩壳和加密壳,压缩壳侧重于压缩体积,加密壳侧重于加密,二者的出发点是不一样的。常见的压缩壳有upx、ASPack等,常见的加密壳有ASProtect、Armadillo等。

UPX

UPX(the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器。压缩过的可执行文件体积缩小50%-70%,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。通过UPX压缩过的程序和程序库完全没有功能损失,和压缩之前一样可正常地运行。对于支持的大多数格式没有运行时间或内存的不利后果。

最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
攻防世界reverse新手区——simple-unpack(upx脱壳
m0_46357566的博客
07-18 1039
方法一:傻瓜式 下载文件,用记事本打开,按Ctrl+f打开搜索,输入flag,得到 去掉乱码即为flag 方法二…UPX脱壳 1.下载文件,拖进PEiD 不是有效的PE文件,就要怀疑是不是ELF文件了 2.再拖进exeinfope看 可以看到确实是ELF文件,然后是UPX加 3.下载kali Linux系统镜像(官网),新建VMware虚拟机(其实用脱壳机就可以,还是想手脱试试看) ...
CTF特训营】 Reverse篇 2.Reverse分析
ll14856lk的博客
12-28 2126
关键代码定位 1)API断点法 2)字符串检索法 快捷键 说明 Ctrl+F IDA中查找字符串 Alt+E 在Olldbg中查找主模块 3)辅助工具定位 常见加密算法识别 对数据进行变换的时候经常会使用一些加密算法,CTF逆向中常出现的加密算法包括base64,TEA,AES,RC4,MD5等 1)base64 2)TEA 3)AES(最常见,多次出现在CTF中) AES加密过程设计4种操作:字节替代(通过S盒完一个映射),行位移,列混淆,和密钥轮加。 ...
CTF的一些常用工具_ctf工具包
最新发布
2401_86044376的博客
08-27 813
在数字取证中和CTF中常用来恢复、分离文件。foremost对我个人来说,感觉是和上面的binwalk差不多的都是分离文件编译文件,但是foremost又比binwalk好很多功能啊,速度啊之类的都是胜过binwalk我一般都会把这两款都下载上binwalk分不了的就去foremost试试也是我的一个习惯,如果你是一个存储空间的极致压缩能手那直接下载foremost就行了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CTF REVERSE练习脱壳分析
小司机的奥拓
08-09 777
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
日结 reverse UPX脱壳
lrc___的博客
12-04 138
按 window + r 键打开操作台,输入 cmd 打开命令,转换地址,因为我把工具存在了D盘,因此要先转换到D盘,这里要注意的是一定要先用 cd 打开一次脱壳工具所在地址,且 cd 后面紧跟的有一个空格。转换之后直接输入 upx.exe -h 安装,exe 后面有空格,如果不是下的链接中的upx工具的话,exe 前面的为所下工具中可执行文件名。此时就已经脱壳成功了,将文件再次拖入ida就可以查看脱壳后的伪代码了这题脱壳后的伪代码如下。以 buuctf 新年快乐 为例来讲。
逆向脱壳入门
壊壊的诱惑你的博客
05-21 925
两个入门级的脱壳CTF题目,记录一下。 一、逆向脱壳入门题目 1.nSpack 先用IDA打开看看: 可以看到有,而且解析出来的函数很少,对脱壳后的文件如下: 可以看到多出了很多函数。 用ESP定律进行脱壳,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
分析并写出下列程序的运行结果_CTFer成长之路--一道历届逆向题解题过程(包含脱壳、算法分析)...
weixin_39622760的博客
10-28 327
前言CTF 是实战性很强的赛事。仅学习理论知识,不进行实操,永远无法成为 CTF 大神。从本篇博客开始,我将选择有代表性的历年CTF比赛题目,介绍解题过程,工具使用以及讲解知识点。 题目介绍本次讲解的是出自2017年第三届上海市大学生网络安全大赛的一道逆向题,题目分值50分,主要考点有算法分析、nspack脱壳、主流工具使用等。准备工具ExeinfoPe 工具,可以查询软件信息OD 反汇编工具,...
CTF-REVERSE练习之算法分析1
ChuMeng1999的博客
11-29 636
目录预备知识一、相关实验二、PEiD密码算法分析插件三、IDA重命名等功能实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之API定位》。 二、PEiD密码算法分析插件 不管是在CTF竞赛的REVERSE题目中,还是在实际的商业产品中,很多程序都喜欢使用成熟的标准算法来作为注册算法的一个部分,如MD5、Blowfish等。这些算法本身往往就十分复杂和难以理解,如果从反汇编指令来阅读这些算法则更是难上加难。对于标准算法,实际上
CTF-REVERSE练习之API断点
ChuMeng1999的博客
11-27 628
目录预备知识一、相关实验二、输入表与API动态调用三、API断点四、MessageBox实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》、《CTF REVERSE练习之API定位》。 二、输入表与API动态调用 在逆向分析中经常会遇到输入表这个概念,输入表中保存的是在程序中调用的但定义在其他DLL中的函数信息以及对应的DLL信息。我们在程序中直接调用Windows API的时候,这些API都可以在程序的输入表中可
CTF-REVERSE练习之.NET逆向
ChuMeng1999的博客
11-29 945
目录预备知识.NET介绍AES加密算法ILSpy实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 .NET介绍 .NET是由微软设计和开发的独立于操作系统之上的平台,其类似于Java虚拟机,无论机器运行的是哪一种操作系统,只要这个系统上安装了.NET框架,就可以在上面运行.NET开发的应用程序。因此,理论上来说,.NET程序也可以运行于Linux环境下,实际上就有一个叫做MONO的开源项目,可以支持.NET程序在Linux下运行。 MSIL全称为Microsoft Intermediate Lang
CTF 安卓脱壳工具大全
07-10
安卓脱壳已经安卓反编译工具,全部集成一套。这里推荐逍遥模拟器,十分方便快捷,然后在安卓中脱壳成功,一般模拟器是root 模式 所以可以减去很多麻烦的东西。
AwsomeReverseTools:逆向工具大集合:脱壳dex重打包脚本;Frida Dump so脚本
05-28
AwsomeReverseTools 逆向 脱壳 修复 Dump SO
手动脱RLPack实战
07-15
手动脱RLPack实战的分析文档和脱壳后的程序下载。
CTF-REVERSE练习之算法分析2
ChuMeng1999的博客
11-29 1827
目录预备知识一、相关实验二、异或运算实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之算法分析1》。 二、异或运算 异或运算是一种数学运算,英文为Exclusive OR,常常缩写成XOR。异或运算针对二进制0和1而言,其数学符号为⊕,异或运算的法则如下: 0⊕0=0 1⊕0=1 0⊕1=1 1⊕1=0 除了二进制以外,异或运算可以扩展到任意数据类型。因为我们所接触的任何数据都可以使用二进制来表示,所以可以对二进制里面的所
reverse】新160个CrackMe之116-REM-KeyGenME#10——脱壳、去背景音乐、识别反调试
hans774882968的博客
09-04 370
发现有些代码变成了数据,但因为没有标红的代码,不像是插入了花指令。的时候,发现这句指令执行时间比其他语句长,断定这是音乐播放的函数。x64dbg实测执行时间比其他语句时间长,但感受差别比较小,不容易注意到。这个exe需要手动脱壳、去背景音乐、有反调试,可惜算法较简单,勉强如参考链接1所说,“列入精品软件”。看了参考链接1,知道是upx,但upx命令脱壳失败。,但因为我们用的是先进的IDA7.7,不用管它直接F5!参考链接1找到音乐播放函数的方法是:单步执行,执行到。,有且暂时不知道是什么
CTF 逆向题 shy
KingZhang2000的博客
09-09 2265
这个题目是攻防大赛的逆向题,是upx的,由于当时手头的工具无法脱壳,所以这题也就跳过了。经过学习了手工脱壳后,感觉可以拿这个题练练手,顺便写一个writeup。 首先查,丢到ExeinfoPE里面看一下,确定是upx 于是丢到OD里面进行脱壳处理,由于是压缩,跟踪起来比较麻烦,我选择了个偷懒的办法,下一个api访问断点 即:VirtualProtect ...
记录一次手动脱壳 Jarvisoj Reverse Evil.exe
还木人的博客
10-20 329
这个题目的分值是200,对我来说是个不小的挑战啊。 查了一下,没有发现什么 真的这么简单?拖入IDA观察: 呃呃呃,果然不简单;在IDA里面没有任何函数的痕迹。只有一个.text段。 猜测,应该是加了某种对源程序加密过。用OD载入。 看到OD的提示,再看到这里的循环pushad,看来应该是有,可是工具又查不出来,手动? 这时想到了ESP定律,记录个大佬的ESP定律讲解链...
BUUCTF Reverse 新年快乐(手工去
A_dmin的博客
07-19 6456
BUUCTF Reverse 新年快乐(手工去) 一天一道CTF题目,能多不能少 下载文件用ida(32)打开,发现: 怎么可能才两个函数,猜测加了,直接查: 发现是UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]的? 就是UPX嘛,好像有什么直接脱壳的工具 但是好像可以手工去?在这里直接尝试手工去...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值