1.上篇文章讲述了如何利用IDA的优化去逆向wasm,但是其实代码依旧不是很好看,这边可以使用Ghidra的wasm的插件来逆向分析,分别是Ghidra我的Ghidra是下载过插件的不知道直接下载能不能直接用,百度一下Ghidra如何使用和安装插件就好 (还有什么好办法也请各位大佬指教)
链接:https://pan.baidu.com/s/1eCLBEkxWm09A7RRVy-BgoA
提取码:1234
2.使用Ghidra开始逆向
1.首先搜索main函数
2.这个比IDA的代码属实容易分析多了,代码就不多分析了可以看上一篇文章
3.这个加密也是可以一眼看出来非常easy,密文在哪里上一篇文章也说了
3.如何调试wasm文件
1.首先在wasm文件夹下的命令行输入 python -m http.server -b localhost 搭建出一个Http的服务器,然后使用谷歌浏览器http://localhost:8000/xxxx.html 访问这个html,可以看见已经运行起来了
2. F12在Sources中有xorwasm.wasm的文件 (记得先让程序停下来)
3.调试的快捷键
3.1: ctrl + F查找函数名
3.2: 点击地址设置断点
3.3: F8等价于IDA的F9 F10单步步过 F11单步步入
3.4: 查看内存 在右边Moudel memory 点击下小方框
4. 先搜索main函数,通过点击地址设置断点
5. 开始调试 call $func96是printf函数1112是内存地址
6. 1084是%s字符串的地址,func17也就是%s,由于之前静态分析可知会判断输入的长度我们输入一个22个字符以保证程序不会退出,输入完点确定再点取消就完了
7. func99观测返回值就是一个strlen计算输入长度的一个功能
8.比较长度
9. func10函数异或0x66的加密再写回去,观测var19和20发现分别是输入的要异或的0x66
10. func9是比较flag是否正确的函数,将加密后的数据和比较数据存放在 28 29中比较
11. 调试发现貌似数据的在内存的地址通常都放在前面几个类似于寄存器当中,比如5248208是比较输入的地址,5248160是输入加密后的地址