jarvis oj reverse 病毒数据分析 writeup

最新推荐文章于 2019-01-31 23:03:00 发布
最新推荐文章于 2019-01-31 23:03:00 发布
阅读量418 收藏
点赞数
分类专栏: 二进制-逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79336476
版权
本文档分析了一道涉及病毒数据分析的题目,该病毒在通过反debug检查和判断程序位置后,使用当前时间作为srand种子。接着,它在注册表中查找docx文件并进行加密。加密过程包括生成随机数、填充缓冲区、使用TEA加密并异或操作。关键在于确定srand的精确seed,即1465461209,从而实现解密。提供了解密代码详述。
摘要由CSDN通过智能技术生成

这题之前做过,但是做到一半就放弃了,现在又回来做一下

首先这题其实还是有点难度的

我们先来分析下main函数部分,首先它做了反debug判断,获取父进程信息
其次它还判断了程序所在位置,过了这几个判断之后,获取当前时间作为seed给srand

然后在注册表里面拿到文档所在的目录

接着在目录里面搜索docx后缀的文件,将其加密之后发送出去

在加密那里,它做了几件事
1. 生成8字节随机数
2. new了一个缓冲区,首先往里面放了文件的大小,然后在里面填了bufFileContent这个字符串,之后往里面塞文件内容,然后在最后加上bufFileName,然后在加上文件名
3. 之后在加密函数里面,先拿缓冲区前8个字节,用tea加密,加密的key可以从数据包中拿到,加密完之后,xor一下生成的8字节随机数
4. 之后再拿缓冲区8个字节,异或前一个8字节tea加密之后的数据,然后用tea加密这个数据,然后再异或前8个没加密字节,之后一直循环这样 (感觉我也说不清楚….还是自己调试或者看下我下面放出来的代码吧

有了加密的过程,逆推就得到未加密的数据
这里一个关键是,如何得到srand的seed?

因为这个时间可以在数据包中获取,但是这个是不准的,我试了一下,发现准确的seed是 1465461209

下面就是解密的代码

import struct
import binascii

def rev(x):
    return struct.unpack('>L',struct.pack('<
最低0.47元/天 解锁文章
charlie_heng
关注
专栏目录
JarvisOJ——病毒数据分析
40KO的博客
03-07 456
0x00前言 这是一道恶意代码分析的题目,其实特征不太像病毒啦。。。整个流程分析下来,还是有不少收获,虽然最后卡在了某个点,但程序的所有功能和流程都分析完成了(因为不复杂,T__T)。在这里,我就把它当作真正的恶意程序来分析一番。 0x01信息收集 一开始我们没有必要直接去逆向这个程序,而是先收集相关信息,这样能够更轻松的完成逆向分析的步骤。 0.首先将它丢进沙箱 可以看到给出的评估...
171207 逆向-JarvisOJ病毒数据分析)(2)
whklhhhh的博客
12-09 344
1625-5 王子昂 总结《2017年12月7日》 【连续第433天总结】 A. JarvisOJ-Re-病毒数据分析(2) B. 继续分析 加密算法的识别插件没有识别出来,只能自己来查找了 核心函数sub_401AD0的算法中出现了一个特征常数:v12 -= 0x61C88647;百度其发现它可能是RC5、RC6、TEA加密算法,常数通常为加法,以下式出现+0x9e3779b9;RC算
171209 逆向-JarvisOJ病毒数据分析)(3)
whklhhhh的博客
12-11 288
1625-5 王子昂 总结《2017年12月9日》 【连续第435天总结】 A. JarvisOJ-Re-病毒数据分析(3) B. 动态调试发现tea前后内容如下 key: 29 23 BE 84 E1 6C D6 AE 87 EF 80 7C B0 FF 12 D2 明文: E4 3B 05 00 62 00 75 00 buffer: C0 00 67 02 D0 0F
Jarvis OJREVERSE】 Smali
qq_26779635的博客
12-01 1064
题目:都说学好Smali是学习Android逆向的基础,现在刚好有一个smali文件,大家一起分析一下吧~~ 链接:Crackme.smali.36e0f9d764bb17e86d3d0acd49786a18 之前接触过点smali,看下文件就是smali,本来想找smali转java工具,但看了下smali发现几个函数名能推出东西,如下 然后结合smali语法花点时间看了...
171206 逆向-JarvisOJ病毒数据分析)(1)
whklhhhh的博客
12-08 397
1625-5 王子昂 总结《2017年12月6日》 【连续第432天总结】 A. JarvisOJ-Re-病毒数据分析 B. 公司员工的计算机中招了! 在他的计算机上发现了一个病毒样本,同时网关上抓包时发现这台计算机好像传了点加密的信息出来,但是抓到的包可能有点不全,开头的一个包可能漏掉了。 请分析压缩包中病毒样本及数据包信息,解密出这台中招的计算机往外发的信息中包含的
Jarvis OJ-Reverse题目Writeup
weixin_33881140的博客
01-31 271
做一道更一道吧233333 DD-Android Easy 下载apk,先安装一下试试吧…… 猜测是输入正确的内容后给flag吧 将后缀改成zip,解压,用dex2jar处理classes.dex,然后用jd-gui打开,可以看到,该apk中只有一个FlagActivity,一部分一部分来看 protected void onCreate(Bundle paramBundle) ...
171130 逆向-JarvisOJ(Fibonacci)
whklhhhh的博客
11-30 1129
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-Fibonacci B. 首先运行,提示 来让我们玩一个数列游戏: a[0]=0,a[1]=1 a[2]=1,a[3]=2 a[4]=3,a[5]=5 ………….. 请计算a[100000000000000]: 刚开始还以为是通过什么算法做出来,准备
jarvis oj reverse Fibonacci writeup
charlie_heng的专栏
02-22 435
这题之前也做过,不过卡了一下,现在再做,发现又会做了 首先要先把加密的class从exe里面dump出来 这里有个教程 http://reverseengineeringtips.blogspot.co.uk/2014/12/unpacking-jar2exe-21-extracting-jar.html 因为这个版本是x64的,所以断点停的是dec r8d 停住之后,在内存那里查看...
171227 逆向-JarvisOJ(Shell)
whklhhhh的博客
12-28 956
1625-5 王子昂 总结《2017年12月27日》 【连续第453天总结】 A. JarvisOJ-Shell B. 这个64位的upx+golang真是够折腾人的..首先查壳,发现PEiD直接罢工了,我还纳闷儿,明明都能运行了咋还不是有效的PE文件捏 然后ExeInfoPE才告诉我这货是64位文件拖入IDA发现什么都没识别出来 但是通过区段名能看出来是UPX壳然而掏UPX程序出来却
ctf study of jarvisoj reverse
weixin_30570101的博客
09-30 119
[61dctf] androideasy164求解器50相反脚本如下:s='' a=113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94, 62, 38, 107, 115, 106 for i in range(len(a...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
Jarvis OJReverse】FindKey
qq_26779635的博客
11-27 1111
题目:FLAG就是你输入的key 链接:findkey.31a509f4006ba41368dcf963762388bb 首先用file看下是python2.7的字节码,拖入kali用uncomply2反编译,找到核心代码: if len(flag) != 17: print 'Wrong Key!!' sys.exit(1) flag = flag[::-1] for i...
记录一次手动脱壳 Jarvisoj Reverse Evil.exe
还木人的博客
10-20 332
这个题目的分值是200,对我来说是个不小的挑战啊。 查了一下壳,没有发现什么 真的这么简单?拖入IDA观察: 呃呃呃,果然不简单;在IDA里面没有任何函数的痕迹。只有一个.text段。 猜测,应该是加了某种壳对源程序加密过。用OD载入。 看到OD的提示,再看到这里的循环pushad,看来应该是有壳,可是工具又查不出来,手动? 这时想到了ESP定律,记录个大佬的ESP定律讲解链...
jarvisoj刷题之旅】逆向题目爬楼梯的writeup
iqiqiya的博客
09-11 1315
先放到模拟器中运行一波 难道是得一直点吗  作为懒人的我可不答应 于是APKIDE反编译  用jd_jui直接看java源码 由java代码可知  我们只要直接让“爬到了,看FLAG“这个按钮可点击即可   那么让他可被点击   只需要改这里就好 分析可知  后面的传值   是与v5相关的   那么只要将他赋值1即可   改过之后   发现APKIDE与Androi...
Jarvis oj 文件数据修复 writeup
charlie_heng的专栏
11-25 415
感觉这题把逆向玩成了misc。。。。首先用mfc工具找到处理解密的函数看了下代码,是把输入的密码一顿操作之后生成16位的key然后用这个key异或一波文件的内容,异或完一次之后+1但是关键是我们不知道密码是什么。。。虽然提示了8位纯数字,但是爆破依然很浪费时间于是就发呆看着屏幕。。。结果看到有几列东西是每一列+1。。。于是大胆猜测全部都是0,这些就是key加了n异或后的结果于是写个脚本,解出文件,b
(Jarvis Oj)(Re) 软件密码破解1
Nothing
04-01 692
(Jarvis Oj)(Re) 软件密码破解1 首先放到ida中,反汇编出上千个函数,感觉无从下手。于是用od动态调试。先搜索一波字符串。 发现“你赢了!”然后找到相关汇编代码。 找到关键跳转 0x12E1C69地址开始,将ebx中地址的数据和14个字节的数据进行比较。那么ebx中的数据是什么?往上看到一个循环异或操作。eax中的数据就是输入的数据,每次都将一个字节与dl进行异或。...
Jarvisoj 逆向总结
Assassin
10-13 3859
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7290
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
jarvisoj刷题之旅】逆向题目DDCTF - Android Easy的writeup
iqiqiya的博客
09-09 922
下载附件之后   改后缀为.apk 本来是直接载入jd-gui的   结果不好看明白代码 那我们就先放到安卓模拟器运行一下看看    输入123456789 发现Wrong Key   载入Androidkiller 第一步:搜索Wrong 第二步:搜索flag_result_no 第三步:搜索0x7f060023     得到三个好玩的 发现0x7f06...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值