01--AFCTF--re2(SMC)

最新推荐文章于 2023-10-09 23:57:37 发布
最新推荐文章于 2023-10-09 23:57:37 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eira_H/article/details/80943450
版权
SMC(self-Modifying Code) 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。调试时遇到的一个问题在使用IDA进行调试的过程中可能会遇到Create Process Fail这个错误,这是因为被调试程序的路径不是全英文的。ID...
摘要由CSDN通过智能技术生成

SMC(self-Modifying Code)

自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。

调试时遇到的一个问题

在使用IDA进行调试的过程中可能会遇到Create Process Fail这个错误,这是因为被调试程序的路径不是全英文的。

IDA调试常用快捷键

  • F2:在选中位置下断点
  • F4:选中某条指令,按下F4,程序会执行到该处。如果对某条指令按F4,实际上执行了下面一系列操作:在该处设置硬件断点—>启动程序使之运行到该处暂停—>删除该处的硬件断点。
  • F5:反编译成伪C代码
  • F7:单步执行,遇到函数调用跟进函数内部
  • CTRL+F7:运行至返回。继续执行当前函数,知道该函数返回或者遇到一个断点时停止。
  • F8:单步执行,遇到函数调用不跟进
  • F9:执行代码,遇到断点则停

解题过程

选择动态调试。
这里写图片描述
选择 Local Windows debugger。
这里写图片描述
在主函数的第一条指令下一个断点。
这里写图片描述
点击开始调试图标进行调试
这里写图片描述
此时程序停在主函数第一条指令上面,按F5反编译成伪C代码,如下:

int wmain()
{
  char *v0; // eax
  int v1; // ST24_4
  __int16 v2; // ST28_2
  char v4; // [esp+1Ch] [ebp-40h]
  char v5; // [esp+36h] [ebp-26h]
  int v6; // [esp+38h] [ebp-24h]
  __int16 v7; // [esp+3Ch] [ebp-20h]
  int v8; // [esp+40h] [ebp-1Ch]
  __int16 v9; // [esp+44h] [ebp-18h]
  int v10; // [esp+48h] [ebp-14h]
  char *v11; // [esp+4Ch] [ebp-10h]
  int i; // [esp+50h] [ebp-Ch]
  int v13; // [esp+54h] [ebp-8h]
  __int16 v14; // [esp+58h] [ebp-4h]

  i = 0;
  printf("Welcome to AFCTF,I hope you have a good time!\n");
  scanf("%s", &v4);
  if ( strlen(&v4) == 27 )
  {
    if ( !strncmp(&v4, "afctf{", 6u) && v5 == 125 )
    {
      v5 = 0;
      v0 = strtok(&v4, "_");
      v11 = v0;
      v0 += 6;
      v8 = *(_DWORD *)v0;
      v9 = *((_WORD *)v0 + 2);
      v13 = *(_DWORD *)(v11 + 6);
      v14 = *((_WORD *)v11 + 5);
      v11 = strtok(0, "_");
      v6 = *(_DWORD *)v11;
      v7 = *((_WORD *)v11 + 2);
      v11 = strtok(0, "_");
      v1 = *(_DWORD *)v11;
      v2 = *((_WORD *)v11 + 2);
      dword_122EF70 = (int)dword_1237F50;
      if ( ((int (__cdecl *)(int *))dword_1237F50[0])(&v8) )
      {
        v10 = SHIBYTE(v14) ^ (char)v13 ^ (char)v14 ^ SHIBYTE(v13) ^ SBYTE2(v13) ^ SBYTE1(v13);
        for ( i = 256; i < 496; ++i )
          byte_1238048[i] = v10 ^ *(_BYTE *)(i + 19103816);
        JUMPOUT(__CS__, &byte_1238048[256]);
      }
      printf("Wrong\n");
    }
    else
    {
      printf("Wrong\n");
    }
  }
  else
  {
    printf("Wrong\n");
  }
  return 0;
}

这段代码的意思是:首先判断输入的flag长度是否为27、开头6个字母是否为“afctff{”、结尾字符是否为“}”;接下来将afctf{……}中间的内容取出来,以’_’为分界符将其分成三段,每段6个字节。然后进入if判断。
在39行下一个断点,按F9执行到这里,在终端随便输入一个符合格式的字符串:afctf{123456_123456_123456},按下F7跟进验证函数。
这里写图片描述
接下来看到汇编代码如下:

.data:01237F50 add     esi, 43AEF761h
.data:01237F56 call    $+5
.data:01237F5B pop     esi
.data:01237F5C push    edi
.data:01237F5D xor     edi, edi
.data:01237F5F
.data:01237F5F loc_1237F5F:                            ; CODE XREF: .data:01237F75↓j
.data:01237F5F cmp     edi, 0C0h
.data:01237F65 jg      short loc_1237F7B
.data:01237F67 mov     bl, [esi+edi+25h]
.data:01237F6B xor     bl, 73h
.data:01237F6E mov     [esi+edi+25h], bl
.data:01237F72 add     edi, 1
.data:01237F75 jmp     short loc_1237F5F
.data:01237F75 ; ---------------------------------------------------------------------------
.data:01237F77 db  65h ; e
.
最低0.47元/天 解锁文章
Eira_H
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
180728 逆向-SMC出题笔记
whklhhhh的博客
07-31 2443
在某黑哥的指示下给他加紧出两个题目~ 最先想到的就是34c3ctf时做过的SMC题目,那个随机数混杂着自解密真的是让我久久无法忘怀 SMC题目的核心就在于自解密时的key 如果key不提供,那么考点就在于大量x86汇编一般\x00出现的是最多的 而这需要基于一定量的代码之上才能猜出,而且这种题目相对而言可玩的花招要少很多 于是选择了将key由一个.init_array的函数动态生成 ...
SMC-HRS系列温控器.pdf
09-03
SMC-HRS系列温控器详解》 SMC-HRS系列温控器是一款高效、精确的温度控制设备,广泛应用于各种需要精确温度控制的场合。该系列温控器具有多功率选择,适应性强,可满足不同功率需求,如1300W、1900W和2400W的设定...
ctfshow re2
cainiao78777的博客
01-19 2491
打开附件如下 勒索病毒我去上网查了一下,发现是通过加密数据,所以这个题可能和加密有关,除了勒索病毒还有一个enflag.txt打开如下 先不管这个 第一步查壳这个exe程序 无壳。 第二步用ida32位打开这个 shift+f12查看字符 有个充值成功,跟进 可以看到这个字符串 DHmqqvqxB^||zll@Jqjkwpmvez{ 可以知道是异或,脚本如下 s="DH~mqqvqxB^||zll@Jq~jkwpmvez{" key="" for c in s: key+=chr(ord
CTFSHOW re2
XFox_的博客
10-28 1804
勒索病毒.exe 打开IDA_main函数里的返回值main_0: __CheckForDebuggerJustMyCode(&unk_40B027); Str = 0; memset(v19, 0, sizeof(v19)); Str1 = 0; memset(v17, 0, sizeof(v17)); memset(v15, 0, 0x100u); memset(v14, 0, 0x100u); v11 = 1; do { sub_401037("*
CTFShow re2 (RC4
Mintind的博客
12-04 1140
本文:跟着大佬的博客一步一步做CTFShow re2的记录
[ctf.show.reverse] re2
weixin_52640415的博客
04-13 1117
签到完了就一个小题,本身不繁杂但是有点长。 先是要求输入一个串然后逐位与0x1f异或后检查密钥是否正确 char __cdecl sub_401A70(char *Str, char *Str1) { char v3; // [esp+0h] [ebp-E4h] signed int i; // [esp+D0h] [ebp-14h] signed int v5; // [esp+DCh] [ebp-8h] __CheckForDebuggerJustMyCode(&unk_
SMC ZK2-ZSEA-A设置方法
12-06
SMC ZK2-ZSEA-A设置方法
smc-voltmeter:SMC电压表
05-04
SMC电压表 SMC电压表是一款应用程序,用于监视MagSafe端口上的输入电压,对其进行记录,绘制图形并根据电压变化触发脚本。 在这里下载: 我可以测量电源以外的其他电压吗? 是的! 取一根MagSafe电线,将其切成两...
ZSE30AF-01-F-G文资料(smc)文数据手册
02-26
ZSE30AF-01-F-G文资料(smc)文数据手册 有需要的拿去试试
regs-smc.rar_V2
09-21
2. **注册表**:在计算机硬件,寄存器是存储少量数据的高速设备,用于控制硬件操作。在SMC,寄存器配置至关重要,它们定义了内存控制器的工作模式、时序参数等,直接影响到内存性能和系统稳定性。 3. **regs-...
用C++实现SMC动态代码加密技术
01-08
实现SMC动态代码加密技术
REVERSE-PRACTICE-CTFSHOW-2
P1umH0的博客
07-07 3403
REVERSE-PRACTICE-CTFSHOW-2re3红包题 武穆遗书数学不及格flag白给 re3 main函数,分析可知,将输入的字符串按十六进制转成数字,写到v5,赋给v17[6] 当i等于6时,v16会加上输入的值,然后进入循环,最后判断v16是否等于0xffff 因为v17[0~5]的值是固定的,于是当i等于0到5的过程,v16最后的累加结果是固定的 调试可得,当i刚刚++到6时,v16的值为0xE560 第二层for循环,v16先加上v17[6],然后判断是否大于0xffff,小于等于
[ctf.show.reverse] 月饼杯 re1_西北望乡、re2_归心、re3_若无月
weixin_52640415的博客
04-21 1036
re1_西北望乡 主程序很容易看明白,格式是flag{....}长45,然后把3,6,13,36拿出来作为系数,这些字符每5个一组分别乘系数后的和给定了。然后就是怎么解了。 if ( strlen(flag) == 45 ) { v21[0] = flag[3]; v21[1] = flag[6]; v21[2] = flag[13]; v21[3] = flag[36]; v21[4] = 13; for ( i = 0; i < 5;
CTF-SMC 逆向练习
weixin_40729735的博客
11-28 4976
SMC代码修改逆向分析--小白学习
wust-ctf2021校赛-re-findit 一道smc
Todog的博客
03-27 802
无壳,32位 进去直接f5看main函数 我们注意到 这个把ssd的地址给了we 地址存储的数据被异或了 写ida的idc进行异或 ida的idcpy可以写 我这里用的是idc 我们要找函数尾巴 pop ebx,pop esi,pop ebp retn 这些标志函数结尾 直接限定给出定义函数到这个函数尾,有些看不懂的数据直接,按c强行转换成汇编指令 全部转换后可以回到ssd,这个时候可以看f5看伪代码 函数加载出来了 ...
2021-AFCTF
unexpectedthing的博客
04-17 2932
AFCTF search 考点 就是一个对find的命令了解,参数exec可以实现命令 wp payload /search.php?search=flag -exec cat {} \; google authenticator 考点 sql注入,拿到secret的密钥 google身份验证码的实现 蚁剑连接,无权限,进行信息收集 蚁剑反弹shell到vps 非交互式shell变为交互式shell的两种方式 写定时任务redis提权 wp 看到登录界面,扫一波,没有东西 尝试进行sql注入 先来个万
[ctf.show.reverse] 月饼杯II 逆向辣鸡工程师的工作
weixin_52640415的博客
04-28 316
从文件追踪流得到elf文件,RC4加密,得到一个fake __int64 __fastcall sub_1360(__int64 a1, _BYTE *a2, __int64 a3) { _BYTE *v3; // r10 unsigned int v4; // er9 unsigned int v5; // er8 char *v6; // rax char v7; // dl char *v8; // rcx __int64 result; // rax if (
CTF Reverse逆向学习之SMC动态代码加密技术,题目复现(NSSCTF)([网鼎杯 2020 青龙组]jocker)
最新发布
Sciurdae的博客
10-09 2125
SMC,即Self Modifying Code,动态代码加密技术,指通过修改代码或数据,阻止别人直接静态分析,然后在动态运行程序时对代码进行解密,达到程序正常运行的效果。SMC的实现方式有很多种,可以通过修改PE文件的Section Header、使用API Hook实现代码加密和解密、使用VMProtect等第三方加密工具等。
CTF逆向-[FlareOn1]Shellolololol-栈上执行,多层smc的动调得到最终结果
serfend's blog
05-03 1664
CTF逆向-[FlareOn1]Shellolololol-栈上执行,多层smc的动调得到最终结果 来源:https://buuoj.cn/ 内容: 附件:链接:https://pan.baidu.com/s/1juLLGgd1MSKeADO1uvAlXA?pwd=t7id 提取码:t7id 答案:such.5h311010101@flare-on.com 总体思路 进去以后发现分析失败了,原来是调用了call eax 全程逐步跟进,需要跳出循环的地方在循环外面按F4跳过 找到flag 详细步骤 得

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值