目录
题目:
打了GDOUCTF的比赛(被暴打了hhh),学到很多新东西,这里总结一下
Diff的文件是ida数据库文件,选择i64或者idb文件进行Diff
打开附件,有两个文件,一个是ls-original一个是ls-patched,这种可以考虑使用bindiff工具比较文件修改的部分,这里引用大佬的一段话
分析过old.so,做了大量繁琐的逆向工程,比如自定义了很多数据结构、重命名了很多函数。现在有new.so,想充分利用old.so的已有逆向成果。比如,想从old.i64迁移一批名为”Private_*”的函数名到new.i64中。再比如,已经卸掉old.so中的过期时间检查,想快速定位new.so中匹配代码,对之进行静态Patch。二进制比较工具正是为解决此类需求而生的。
这种情况下就可以使用bindiff二进制比较工具。
工具下载地址:https://zynamics.com/software.html
我是用的是win11+IDA7.7+bindiff7,点开后可以直接下载bindiff7.msi,但是不要忘记勾选上面的框框,不然是没法下载的
具体下载流程可以参考https://www.cnblogs.com/lsdb/p/10543411.html
下载完成就可以在IDA中使用了,拿这题举个例子
Diff的文件是ida数据库文件,选择i64或者idb文件进行Diff
在使用bindiff之前需要将文件先在ida中打开,得到.i64文件。再用.i64文件进行操作
先打开patched.i64文件(即new.i64),再在Edit->Plugins->BinDiff (Ctrl-6)->Diff Database->选中old.i64
完成了就会显示这样的画面,显示四个窗口,作用分别如下(参考大佬文章)
Matched Functions :完全匹配的函数
Statics:匹配的一些数据
Primary unmatch: 初级不匹配
Secondary Unmatch :二级不匹配
Matched Functions窗口时看old文件与new文件相匹配程度,越绿代表匹配度越高,越红代表匹配度越低,可以在本题中找到不那么绿的那一栏,打开它
代码有点乱..与old文件进行相比可以看到多了对lmao进行异或运算,但是异或的值并不知道,看了大佬的wp知道可以用Cyberchef
得到了flag
学到的点:
Bindiff工具使用,需要i64文件,将old.i64与new.i64进行比较,可以找到不同的地方。具体使用参考:http://blog.nsfocus.net/bindiff/
Cyberchef的使用:https://gchq.github.io/CyberChef/,具体使用可以参考:https://www.secrss.com/articles/12449
扫一扫
176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
