简单逆向31(OD调试,亦或)

最新推荐文章于 2024-04-03 08:57:48 发布
最新推荐文章于 2024-04-03 08:57:48 发布
阅读量338 收藏 2
点赞数
分类专栏: ctf 笔记 文章标签: python 亦或 动态调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49936845/article/details/119877125
版权
笔记 同时被 2 个专栏收录
54 篇文章 2 订阅
订阅专栏
ctf
35 篇文章 5 订阅
订阅专栏

使用IDA打开,通过搜索字符串找到主函数:

int __thiscall sub_AC2810(void *this)
{
  int v1; // eax
  int v2; // ecx
  int v3; // eax
  char *v4; // esi
  signed int v5; // edi
  unsigned int v6; // kr00_4
  char *v7; // ecx
  char **v8; // ecx
  char *v9; // ecx
  char *v10; // edx
  unsigned int v11; // edi
  int v12; // eax
  int v13; // eax
  bool v14; // cf
  unsigned __int8 v15; // al
  unsigned __int8 v16; // al
  unsigned __int8 v17; // al
  const char *v18; // edx
  int v19; // eax
  char *v20; // eax
  int v22; // [esp-14h] [ebp-D8h]
  int v23; // [esp-10h] [ebp-D4h]
  char *v24; // [esp+24h] [ebp-A0h]
  int len; // [esp+34h] [ebp-90h]
  unsigned int v26; // [esp+38h] [ebp-8Ch]
  __int128 v27; // [esp+3Ch] [ebp-88h]
  __int128 v28; // [esp+4Ch] [ebp-78h]
  int v29; // [esp+5Ch] [ebp-68h]
  __int128 key; // [esp+60h] [ebp-64h]
  __int128 v31; // [esp+70h] [ebp-54h]
  int v32; // [esp+80h] [ebp-44h]
  __int64 v33; // [esp+84h] [ebp-40h]
  int v34; // [esp+8Ch] [ebp-38h]
  int v35; // [esp+94h] [ebp-30h]
  int v36; // [esp+98h] [ebp-2Ch]
  int v37; // [esp+9Ch] [ebp-28h]
  int v38; // [esp+A0h] [ebp-24h]
  int v39; // [esp+A4h] [ebp-20h]
  int v40; // [esp+A8h] [ebp-1Ch]
  int v41; // [esp+ACh] [ebp-18h]
  int v42; // [esp+B0h] [ebp-14h]
  int v43; // [esp+C0h] [ebp-4h]

  len = 0;
  v26 = 15;
  LOBYTE(v24) = 0;
  v43 = 0;
  LOBYTE(v43) = 1;
  v1 = printf(this, "Please input your flag: ");
  sub_AC3050(v1);
  scanf(&dword_AF0068, &v24);
  strcpy((char *)&v34, "9_CTF");
  v33 = *(_QWORD *)aSwpu2019Ctf;                // SWPU_2019_CTF
  if ( len == 32 )
  {
    v39 = -1173078761;
    v40 = 494076752;
    v41 = -1811652486;
    v42 = 688582768;
    v5 = 0;
    key = 0i64;
    v32 = 0;
    v31 = 0i64;
    v6 = strlen((const char *)&v33);
    do                                          // 1:亦或
    {
      v7 = (char *)&v24;
      if ( v26 >= 16 )
        v7 = v24;
      v7[v5] ^= *((_BYTE *)&v33 + v5 % v6);
      ++v5;
    }
    while ( v5 < 32 );
    v8 = &v24;
    v4 = v24;
    if ( v26 >= 16 )
      v8 = (char **)v24;
    v29 = 0;
    v27 = 0i64;
    v28 = 0i64;
    *(_QWORD *)&key = *(_QWORD *)v8;
    *((_QWORD *)&key + 1) = *((_QWORD *)v8 + 1);
    *(_QWORD *)&v31 = *((_QWORD *)v8 + 2);
    *((_QWORD *)&v31 + 1) = *((_QWORD *)v8 + 3);
    sub_AC25C0(v22, v23, 256, (unsigned int)&key, (unsigned int)&v27);// 一种加密
    v35 = 0xF80F37B3;
    v36 = 0x5DAEBCBC;
    v9 = (char *)&v35;
    v37 = 0x864D5ABA;
    v10 = (char *)&v27;
    v38 = 0xD3629744;
    v11 = 28;
    v39 = 0x1624BA4F;
    v40 = 0x1A729F0B;
    v41 = 0x266D6865;
    v42 = 0x67C86BBA;
    while ( 1 )
    {
      v12 = *(_DWORD *)v9;
      if ( *(_DWORD *)v9 != *(_DWORD *)v10 )
        break;
      v9 += 4;
      v10 += 4;
      v14 = v11 < 4;
      v11 -= 4;
      if ( v14 )
      {
        v13 = 0;
        goto LABEL_19;
      }
    }
    v14 = (unsigned __int8)v12 < (unsigned __int8)*v10;
    if ( (_BYTE)v12 != *v10
      || (v15 = v9[1], v14 = v15 < (unsigned __int8)v10[1], v15 != v10[1])
      || (v16 = v9[2], v14 = v16 < (unsigned __int8)v10[2], v16 != v10[2])
      || (v17 = v9[3], v14 = v17 < (unsigned __int8)v10[3], v17 != v10[3]) )
    {
      v13 = -v14 | 1;
    }
    else
    {
      v13 = 0;
    }
LABEL_19:
    if ( v13 )
      v18 = "Try again!\r\n";
    else
      v18 = "Congratulations! I always knew you could do it.";
    v19 = printf(v9, v18);
    sub_AC3050(v19);
    sub_ACADBE("pause");
  }
  else
  {
    v3 = printf(v2, "Try again!\r\n");
    sub_AC3050(v3);
    sub_ACADBE("pause");
    v4 = v24;
  }
  if ( v26 >= 0x10 )
  {
    v20 = v4;
    if ( v26 + 1 >= 0x1000 )
    {
      v4 = (char *)*((_DWORD *)v4 - 1);
      if ( (unsigned int)(v20 - v4 - 4) > 0x1F )
        sub_ACAFF7(v26 + 36);
    }
    sub_AC64DE(v4);
  }
  return 0;
}

先静心浏览代码,先与一个值亦或,再把亦或后的数据放到了一个函数进行加密,然后比较;

这里注意几点:
1.后面比较字符串因为是整数类型,要注意大小端(后面OD动态调试在寄存器里找亦或的数据也要注意大小端)。

2.前面虽然只传入了四次数据,但是一次是QWORD,也就是4 * 8 = 32。

当然流程不知道是什么,可以先动态调试,一般是同时进行的。

因为看了加密函数里面很多常量的混淆,下面使用动态调试:

OD打开(IDA报错):
在IDA中可以看到函数地址是,AC2810
在这里插入图片描述
找到地址(注意基地址可能不一样,后面相同就行),下个断点

在这里插入图片描述
F9运行,F8跟踪
printf
在这里插入图片描述
scanf
在这里插入图片描述
随便输入数据,32位
在这里插入图片描述
check长度是否位0x20(32),不是输出错误
在这里插入图片描述
这里应该是第一个亦或(xor),知道亦或的数据,就不用记录了:
在这里插入图片描述

看到这里有一片移动数据:
在这里插入图片描述

[ecx]地址的值移动到[EBP-64]
ecx的值是前面亦或后的数据,就相当于把数据移动到了新的地址,ds是数据段寄存器,ss是栈段寄存器在这里插入图片描述然后是加密函数:在这里插入图片描述
EBP-64的数据就是上面转移的新地址,这个数据需要在栈中查看。也可以在数据窗口中跟随。
栈段:
在这里插入图片描述
数据窗口跟随方法:
先跟踪到要跟随的数据操作地址,比如这里是ss:[EBP-64]
在这里插入图片描述

下面有个提示堆栈,右键选择跟随;
在这里插入图片描述
32字节刚好两排,数据应该和上面段中的地址一样,这里不一样是因为我这次输入的数据不一样,这个功能相当于段内存映射
在这里插入图片描述

然后因为这个加密函数我跟进去看了一下,发现思路不明确,然后可以使用一个内存断点的功能;
如下
在这里插入图片描述

只要有指令改变这个地方的数据OD就会给我们短下来,F9运行

断到了一个亦或

EAX-4是刚刚那个数据
在这里插入图片描述
我们搜寻每次亦或ECX的数据:
CA3E0C86
19AED798
A66B77E2
B077A16A
05379169
307BF97A
104B5A43
28D47D86

这里有个重点,前面说了。
因为xor每次亦或,后面使用的dword(2字节),产生大小端的问题,所以要就行处理,可以将ECX数据重新排列,也可以将另外一个字符串重新排列;

继续,后面还有一个比较:
在这里插入图片描述
数据在上面:
在这里插入图片描述

脚本:

#输入的永远是一个字节一个字节的输入,所以没有大小端。但是比较的时候会大小端,所以要将比较的数据还原就行了
data = [0xB3, 0x37, 0x0F, 0xF8, 0xBC, 0xBC, 0xAE, 0x5D, 0xBA, 0x5A, 0x4D, 0x86, 0x44, 0x97, 0x62, 0xD3, 0x4F, 0xBA, 0x24, 0x16, 0x0B ,0x9F, 0x72, 0x1A, 0x65, 0x68, 0x6D, 0x26, 0xBA, 0x6B, 0xC8, 0x67] 

flag = ""

#字符形式不考虑大小端
check1 = "SWPU_2019_CTF"

#本来是4个字节4个字节的亦或,也可以转换为一个字节一个字节的亦或
#比较是dwrod类型,所以每四个字节需要使用大小端转换

check2 = [0X86,0X0C,0X3E,0XCA,0X98,0XD7,0XAE,0X19,0XE2,0X77,0X6B,0XA6,0X6A,0XA1,0X77,0XB0,0X69,0X91,0X37,0X05,0X7A,0XF9,0X7B,0X30,0X43,0X5A,0X4B,0X10,0X86,0X7D,0XD4,0X28]

for i in range(len(data)):
    #每个数据只亦或一下,所以可以写一起
    flag += chr(data[i] ^ check2[i] ^ ord(check1[i%13]))
print(flag)

在这里插入图片描述

I Am Rex
关注
专栏目录
初识逆向工具od
qq_41694201的博客
10-20 1967
ida和od兼并静态和动态调试方式,但是就静态而言ida更加的强大,而动态调试的工具自然是od更为灵活和强大。 od软件,界面打开如图: 软件窗口可以分为12个小窗口: 1.汇编代码对应的地址窗口 2.汇编代码对应的十六进制机器码窗口 3.反汇编窗口 4.反汇编代码对应的注释信息窗口 5.寄存器信息窗口 6.当前执行到的反汇编代码的信息窗口 7-9.数据所在的内存地址,十六...
OD使用教程
12-23
OD学习教程1,基础的学习教程的
OD逆向一个简单的工程实战
Peter的博客
07-09 1428
今天闲着没事干,找朋友要了一款简单的登录软件用来写这篇基础入门文章,这篇文章算是最基础的一个逆向工程的实战演示。软件逆向工程(Software Reverse Engineering)又称软件反向工程,是指从可运行的程序系统出发,运用解密、反汇编、系统分析、程序理解等多种计算机技术,对软件的结构、流程、算法、代码等进行逆向拆解和分析,推导出软件产品的源代码、设计原理、结构、算法、处理过程、运行方法及相关文档等。通常,人们把对软件进行反向分析的整个过程统称为软件逆向工程,把在这个过程中所采用的技术都统称为..
OD逆向调试程序的笔记
weixin_33758863的博客
11-05 207
1-读取文本框内容常用的函数(这里的“A”表示ASCII,“W”表示宽字符UNICODE,下同) -GetDlgItemTextA()<这个函数是最常用到的> -GetWindowTextA() -DialogBoxParamA() -GetDlgItem() -GetDlgItemInt() -GetWindowLong()2-在逆向程序的算法逻辑时...
浅谈逆向——OD杂项(OD的使用4)
qq_38684512的博客
01-25 1188
浅谈逆向-OD杂项Run traceHit traceOD常见问题 Run trace Run跟踪可以把被调试程序执行过的指令保存下来,以便了解之前发生的事情。该功能将地址,寄存器的内容,消息等记录到Run trace的缓冲区中。在运行之前,将缓冲区空间设置的较大一些,否则在执行指令太多时会造成缓冲区溢出(OD会自动丢弃旧纪录)。 可以使用快捷键ALT+O打开调试选项,跟踪标签页中进行设置。如果需...
OD调试器源码
09-18
OD调试器源码是调试工具领域的一个重要话题,尤其对于软件开发者和逆向工程师来说,理解并学习OD(OllyDbg)调试器的源码能够深入掌握底层调试技术,提高解决问题的能力。OllyDbg是一款流行的x86汇编级别的调试器,...
OD调试工具 for 64 win7-C++工具类资源
09-22
总的来说,"OD调试工具 for 64 win7"是逆向工程师和安全研究人员在64位Windows系统上进行代码分析和调试的重要工具,通过它的使用,可以深入了解程序的内部运作,修复错误,或者对恶意软件进行深入研究。这个资源的...
OD调试.NET辅助插件(ILLY.dll)最后一个版本
05-03
OD调试.NET辅助插件ILLY.dll是一个专门为逆向工程师和软件开发者设计的工具,用于在OllyDbg(OD)中进行.NET程序的调试。OllyDbg是一款经典的Windows x86汇编语言级别的调试器,它在逆向工程领域广泛应用。然而,...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
大神写的OD调试器成品
09-18
"大神写的OD调试器成品"指的是某位专家或社区成员对OllyDbg进行了定制或者优化,形成了一个特别版本,可能是为了提升性能、增加特定功能或改善用户体验。 这个压缩包中包含的"**MyDbg.exe**"很可能就是这个定制版的...
OD使用完全教程、OD使用
12-08
OD是个很好的找CALL以及反汇编的工具吗,这个主要介绍OD的使用,以及很多快捷键的使用方法
浅谈逆向——OD断点简介(OD的使用3)
qq_38684512的博客
01-23 8421
浅谈逆向-OD断点简介常用断点INT 3断点硬件断点 常用断点 INT 3断点,硬件断点,内存断点,消息断点… INT 3断点 常用,OD中可以使用bp命令或F2快捷键来设置/取消。当执行一个INT 3断点时,该地址处的内容被调试器用INT 3替换了。此时OD将INT 3隐藏起来,显示中断前的指令。由于INT 3指令的机器码时0xCC故此 也常称之为CC指令。 当被调试进程执行INT 3指令导致一...
OD逆向调试时常用断点总结
weixin_43046297的博客
03-03 8669
在这里简单介绍一下OD逆向调试时常用的断点 1.CC断点(普通断点、F2断点) 2.内存断点 3.硬件断点 4.条件断点、条件记录断点 5.API断点 6.消息断点 以上就是OD逆向调试常用的断点,在这里总结,希望以后使用起来更加灵活方便 ...
游戏逆向基础之OD找CALL实践
douluo998的博客
03-03 2448
这些调用或许都能实现功能,但是越上面的,由于很内层,往往绕过了多层判断,可能会功能更强大,而越下面的,由于处在调用的较外层,所有功能会更完整,这就需要根据自己的需求去分析选择,以及逐一实验哪个函数是自己所需要的。ELEMENTC.0067D4E0 ELEMENTC.006C6E50//结构体CALL。0018EDE4 008DB977 可能 ELEMENTC.008EB9E0 ELEMENTC.008DB974。
【游戏逆向逆向基础之OD的使用和基础
最新发布
douluo998的博客
04-03 1091
内存访问和内存写入,对该处内存地址有访问或则写入,因为该处是代码段,正常是不存在访问和写入的,所以在该处下此类型断点一般是错误的做法,但是有一种情况是需要这样做的,就是如果你修改了该处代码,又想知道该处是否有CRC等检测的时候,就需要在该处下内存断点了,我们说正常情况下代码段是不会有内存访问和写入的,一旦有的话9层就是检测了。动态调试,最重要的是下断点,当程序执行到我们下断点的位置的时候,被暂停下来,此时我们可以分析内存和寄存器以对程序进行分析。我们点了F9,程序依然是卡住的,没有办法运行起来。
linux动态调试工具od,OllyDBG(OD动态调试工具)
weixin_35747785的博客
05-05 1829
OllyDBG是一个新的动态追踪工具,OllyDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。强烈推荐!OllyDbg2.01正式版更新日志:Help on 77 pages. Please read it first - most of new features are described thereMult...
动态调试 OD
Re_Fw
12-03 2028
动态分析技术 OD动态分析分为用户模式和内核模式 *用户模式调试器是指用来调试用户模式应用程序的调试器, *内核模式调试器是指能调试系统内核的调试器 OllyDbg 1、 ollyDbg是一款具有可视化界面的用户模式调试器,可以在各种版本的windows上运行,一般只能分析32位的可执行程序 2、 ollyDbg的cpu窗口包括五个面板窗口,分别是反汇编面板,寄存器面板,信息面板,数据面板和栈面板 *反汇编面板窗口的快捷键 Addres例:显示被双击行地址的相对...
OD动态调试exe
wuwuliuliu0524的博客
08-21 548
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试到中括号最下面即可停止,并且在下一个中括号开始重复操作,设置此处为新EIP-F8调试。分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
csaw2013reversing2(OD动态调试笔记)
HLi1219的博客
11-06 369
通过别人的文章,学习动态调试 PE查壳:无壳、32位 没有输入函数,再根据题目,打开就有flag,打开发现是乱码 用相应的ida打开,找的main函数F5反编译 代码中mencpy_s的具体含义为(目标地址,字节数,源地址,复制的字节数)也就是把&unk_409B10里面的值给了IpMem,在sub_401000的函数中进行加密,随货就是关闭程序后显示,看了其他的文章,&unk_409B10中就是乱码的flag。使用OD动态调试 在003F1094中对应了id...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I Am Rex

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值