ReversingKr-wp(4)

最新推荐文章于 2022-07-13 06:30:00 发布
最新推荐文章于 2022-07-13 06:30:00 发布
阅读量294 收藏
点赞数
分类专栏: 逆向工程 文章标签: 安全 网络 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/125511766
版权

Twist1

在这里插入图片描述

加了某种奇怪的壳, 应该是专有壳, 需要手动脱壳, ReadMe说了要在x86下运行, 所以丢进52pojie的xp虚拟机里调试
一上来就加了反调试, 下断点后在call Twist1.00407059处会出错, 确实是题如其名, 很扭曲, 上了专有壳, 反调试, SMC, 函数校验, 代码混淆, 配置跟实际的逆向保护软件比较接近了.
在这里插入图片描述

解法就是见招拆招, 单步跟踪对每一个加密保护逐一破解
单步跟踪不下断, 调试可以发现0x00407059是关键函数, 跟进去, 发现下面这四条指令是SMC运行时解密代码, F4出来解密之后继续跟, 需要经过总共4个解密指令段, 最后可以恢复出函数主体逻辑
在这里插入图片描述

抵达OEP, 此时可以dump出来脱壳的程序方便之后重载
在这里插入图片描述
往下走, 发现call 0x00401270时程序会执行输入操作, 输入后会卡主, 则跟进去, 发现有SetUnhandledExceptionFilter 异常捕获函数, 属于反调试机制, nop掉判断条件adc dl,byte ptr ds:[edx]继续调试
在这里插入图片描述
接下来就定位到程序的关键逻辑
在这里插入图片描述
显然字符串处理函数在0x004012C6, 跟进去又经过一段SMC解密代码, 最后来到处理函数, 这里可以dump出来用IDA分析, 直接读汇编也问题不大, 锻炼基本功
在这里插入图片描述
这里会校验16字节的数据来判断函数完整性, 是检测系统版本的一步
在这里插入图片描述
接下来有3个调试, nop掉失败条件继续跟
在这里插入图片描述又来一个getthreadcontext反调试, nop掉失败跳转继续跟
在这里插入图片描述
接着是硬件断点反调试, 也是nop无脑通过
在这里插入图片描述

最后来到处理逻辑 (finally
而且还加了代码混淆, 控制流非常混乱, 需要每个call都跟进去分析一遍
一路跟一路分析:
arr[0]循环右移6位,检查与0x49相等
arr[2]异或0x77, 检查与0x35相等
在这里插入图片描述
arr[1]与0x20异或,检查与0x69相等
arr[3]与0x21异或,检查与0x64相等
arr[4]与0x46异或,检查与0x8相等
arr[5]循环左移4位,检查与0x14相等

写逆

#include <stdlib.h>
#include <stdio.h>

int main() {
    char valid[] = {0x49, 0x69, 0x35, 0x64, 0x08, 0x14};
    char arr[7] = {0};
    arr[0] = valid[0] << 6 | valid[0] >> 2;
    arr[1] = valid[1] ^ 0x20;
    arr[2] = valid[2] ^ 0x77;
    arr[3] = valid[3] ^ 0x21;
    arr[4] = valid[4] ^ 0x46;
    arr[5] = valid[5] >> 4 | valid[5] << 4;
    
    for (int i = 0; i < 7; ++i) {
        printf("%c", arr[i]);
    }
    printf("\n");
}

完成! 前后调试了3h, 真的够变态, 大量反调试, SMC, 还检测函数完整性, 最后在核心代码处加了控制流混淆和花指令, 虽说很折磨但是逆出来还是可以学到很多技术
(逆向, 最重要的还是耐心

Easy ELF

拿到一个zip文件, 解压发现出错, 怀疑是文件格式不对
放到kali, file一下
在这里插入图片描述

是ELF32位文件
拖入IDA, 反汇编后扫一遍各个函数, 找到一个可能是关键函数

_BOOL4 sub_8048451()
{
  if ( byte_804A021 != 49 )
    return 0;
  byte_804A020 ^= 0x34u;
  byte_804A022 ^= 0x32u;
  byte_804A023 ^= 0x88u;
  if ( byte_804A024 != 88 )
    return 0;
  if ( byte_804A025 )
    return 0;
  if ( byte_804A022 != 124 )
    return 0;
  if ( byte_804A020 == 120 )
    return byte_804A023 == -35;
  return 0;
}

读一下main函数汇编, 先后call了sub_8038434, sub_8048451之后是分支到wrong和correct, 说明这两个函数就是关键函数

写出脚本

Byte21 = 49
Byte20 = 120 ^ 0x34
Byte22 = 124 ^ 0x32
Byte23 = (-35 & 0xff) ^ 0x88
Byte24 = 88
Byte25 = 0
flag = chr(Byte20) + chr(Byte21) + chr(Byte22) + chr(Byte23) + chr(Byte24) + chr(Byte25)
print(flag)

WindowsKernel

在这里插入图片描述

无壳, 拖进IDA, 程序结构不是很复杂, 也没有应用加密, 可以看到sub_401110函数中有关键字符串

 HWND __thiscall sub_401110(HWND hDlg)
{
  HWND result; // eax
  HWND v3; // eax
  HWND v4; // eax
  HWND v5; // eax
  WCHAR String[256]; // [esp+8h] [ebp-204h] BYREF

  GetDlgItemTextW(hDlg, 1003, String, 512);
  if ( lstrcmpW(String, L"Enable") )
  {
    result = (HWND)lstrcmpW(String, L"Check");
    if ( !result )
    {
      if ( sub_401280(0x2000) == 1 )
        MessageBoxW(hDlg, L"Correct!", L"Reversing.Kr", 0x40u);
      else
        MessageBoxW(hDlg, L"Wrong", L"Reversing.Kr", 0x10u);
      SetDlgItemTextW(hDlg, 1002, &word_4021F0);
      v5 = GetDlgItem(hDlg, 1002);
      EnableWindow(v5, 0);
      result = (HWND)SetDlgItemTextW(hDlg, 1003, L"Enable");
    }
  }
  else if ( sub_401280(4096) )
  {
    v3 = GetDlgItem(hDlg, 1002);
    EnableWindow(v3, 1);
    SetDlgItemTextW(hDlg, 1003, L"Check");
    SetDlgItemTextW(hDlg, 1002, &word_4021F0);
    v4 = GetDlgItem(hDlg, 1002);
    result = SetFocus(v4);
  }
  else
  {
    result = (HWND)MessageBoxW(hDlg, L"Device Error", L"Reversing.Kr", 0x10u);
  }
  return result;
}

进入sub_401280分析

int __usercall sub_401280@<eax>(HWND a1@<edi>, DWORD dwIoControlCode)
{
  HANDLE v2; // esi
  int result; // eax
  DWORD BytesReturned; // [esp+4h] [ebp-8h] BYREF
  int OutBuffer; // [esp+8h] [ebp-4h] BYREF

  v2 = CreateFileW(L"\\\\.\\RevKr", 0xC0000000, 0, 0, 3u, 0, 0);
  if ( v2 == (HANDLE)-1 )
  {
    MessageBoxW(a1, L"[Error] CreateFile", L"Reversing.Kr", 0x10u);
    result = 0;
  }
  else if ( DeviceIoControl(v2, dwIoControlCode, 0, 0, &OutBuffer, 4u, &BytesReturned, 0) )
  {
    CloseHandle(v2);
    result = OutBuffer;
  }
  else
  {
    MessageBoxW(a1, L"[Error] DeviceIoControl", L"Reversing.Kr", 0x10u);
    result = 0;
  }
  return result;
}

result结果与DeviceIoControl函数相关, 这是一个WinKer.sys的函数, 跟windows驱动相关, 分析sys文件

NTSTATUS __stdcall DriverEntry(_DRIVER_OBJECT *DriverObject, PUNICODE_STRING RegistryPath)
{
  NTSTATUS result; // eax
  int v3; // edi
  PDEVICE_OBJECT v4; // ecx
  char *v5; // et1
  char *v6; // et1
  char *v7; // et1
  char v8; // al
  struct _KDPC *v9; // esi
  char *v10; // et1
  struct _UNICODE_STRING DestinationString; // [esp+Ch] [ebp-134h] BYREF
  union _LARGE_INTEGER Interval; // [esp+14h] [ebp-12Ch] BYREF
  PDEVICE_OBJECT DeviceObject; // [esp+1Ch] [ebp-124h] BYREF
  PVOID P; // [esp+20h] [ebp-120h]
  CCHAR Number[4]; // [esp+24h] [ebp-11Ch]
  struct _OSVERSIONINFOW VersionInformation; // [esp+28h] [ebp-118h] BYREF

  DbgSetDebugFilterState(0x65u, 3u, 1u);
  DbgPrint("Driver Load!! \n");
  DriverObject->DriverUnload = (PDRIVER_UNLOAD)sub_1131C;
  dword_13030 = 0;
  VersionInformation.dwOSVersionInfoSize = 276;
  if ( RtlGetVersion(&VersionInformation) )
  {
    MajorVersion = VersionInformation.dwMajorVersion;
    MinorVersion = VersionInformation.dwMinorVersion;
  }
  else
  {
    PsGetVersion(&MajorVersion, &MinorVersion, 0, 0);
  }
  RtlInitUnicodeString(&DestinationString, "\\");
  P = (PVOID)IoCreateDevice(DriverObject, 4u, &DestinationString, 0x22u, 0, 0, &DeviceObject);
  if ( (int)P >= 0 )
  {
    RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\RevKr");
    v3 = IoCreateSymbolicLink(&SymbolicLinkName, &DestinationString);
    if ( v3 >= 0 )
    {
      v4 = DeviceObject;
      DriverObject->MajorFunction[14] = (PDRIVER_DISPATCH)sub_11288;
      DriverObject->MajorFunction[0] = (PDRIVER_DISPATCH)sub_112F8;
      DriverObject->MajorFunction[2] = (PDRIVER_DISPATCH)sub_112F8;
      *(_DWORD *)v4->DeviceExtension = 0;
      SystemArgument2 = DeviceObject->DeviceExtension;
      *(_DWORD *)SystemArgument2 = DeviceObject;
      v5 = *(char **)&KeNumberProcessors;
      ::P = ExAllocatePool(NonPagedPool, 4 * *v5);
      KeInitializeDpc(&DeviceObject->Dpc, sub_11266, DeviceObject);
      v6 = *(char **)&KeNumberProcessors;
      P = ExAllocatePool(NonPagedPool, 32 * *v6);
      if ( P )
      {
        v7 = *(char **)&KeNumberProcessors;
        Interval.QuadPart = -10000000i64;
        v8 = *v7;
        Number[0] = 0;
        if ( v8 > 0 )
        {
          do
          {
            v9 = (struct _KDPC *)((char *)P + 32 * Number[0]);
            KeInitializeDpc(v9, sub_113E8, 0);
            KeSetTargetProcessorDpc(v9, Number[0]);
            KeInsertQueueDpc(v9, 0, 0);
            KeDelayExecutionThread(0, 0, &Interval);
            v10 = *(char **)&KeNumberProcessors;
            ++Number[0];
          }
          while ( Number[0] < *v10 );
        }
        ExFreePoolWithTag(P, 0);
      }
      result = 0;
    }
    else
    {
      IoDeleteDevice(DriverObject->DeviceObject);
      result = v3;
    }
  }
  else
  {
    DbgPrint("IoCreateDevice Error\n");
    result = (NTSTATUS)P;
  }
  return result;
}

根据Windows系统编程经验, DriverObject->MajorFunction[14] = (PDRIVER_DISPATCH)sub_11288;以及KeInitializeDpc会开启一个thread去执行目标函数, 跟进去分析sub_11288

int __stdcall sub_11288(int a1, PIRP Irp)
{
  int v2; // edx
  struct _IRP *v3; // eax

  v2 = *(_DWORD *)(Irp->Tail.Overlay.PacketType + 12);
  v3 = Irp->AssociatedIrp.MasterIrp;
  if ( v2 == 4096 ) // 0x1000
  {
    *(_DWORD *)&v3->Type = 1;
    dword_13030 = 1;
    dword_13034 = 0;
    dword_13024 = 0;
    dword_1300C = 0;
  }
  else if ( v2 == 0x2000 )
  {
    dword_13030 = 0;
    *(_DWORD *)&v3->Type = dword_13024;
  }
  Irp->IoStatus.Status = 0;
  Irp->IoStatus.Information = 4;
  IofCompleteRequest(Irp, 0);
  return 0;
}

根据WindowsKernel.exe的判断函数sub_401280(0x2000) == 1, 所以这里传进来的参数是0x2000, 只考察v2 == 0x2000这一个分支的逻辑, dword_13030会设置为0, 以及设置lrp. 接着看sub_11266函数

void __stdcall sub_11266(struct _KDPC *Dpc, PVOID DeferredContext, PVOID SystemArgument1, PVOID SystemArgument2)
{
  char v4; // al

  v4 = READ_PORT_UCHAR((PUCHAR)0x60);
  sub_111DC(v4);
}

继续根据Windows系统编程经验, 这个驱动函数是从端口0x60也就是键盘读入参数保存在v4, 分析sub_111DC和里面的跟result相关的函数

int __stdcall sub_111DC(char a1)
{
  int result; // eax
  bool v2; // zf

  result = 1;
  if ( dword_1300C != 1 )
  {
    switch ( dword_13034 )
    {
      case 0:
      case 2:
      case 4:
      case 6:
        goto LABEL_3;
      case 1:
        v2 = a1 == -91;
        goto LABEL_6;
      case 3:
        v2 = a1 == -110;
        goto LABEL_6;
      case 5:
        v2 = a1 == -107;
LABEL_6:
        if ( !v2 )
          goto LABEL_7;
LABEL_3:
        ++dword_13034;
        break;
      case 7:
        if ( a1 == -80 )
          dword_13034 = 100;
        else
LABEL_7:
          dword_1300C = 1;
        break;
      default:
        result = sub_11156(a1);
        break;
    }
  }
  return result;
}

// continue analysis sub_11156 and next function in it
int __stdcall sub_11156(char a1)
{
  int result; // eax
  bool v2; // zf
  char v3; // [esp+8h] [ebp+8h]

  v3 = a1 ^ 0x12;
  result = dword_13034 - 100;
  switch ( dword_13034 )
  {
    case 'd':
    case 'f':
    case 'h':
    case 'j':
      goto LABEL_2;
    case 'e':
      v2 = v3 == -78;
      goto LABEL_4;
    case 'g':
      v2 = v3 == -123;
      goto LABEL_4;
    case 'i':
      v2 = v3 == -93;
LABEL_4:
      if ( !v2 )
        goto LABEL_5;
LABEL_2:
      ++dword_13034;
      break;
    case 'k':
      if ( v3 == -122 )
        dword_13034 = 200;
      else
LABEL_5:
        dword_1300C = 1;
      break;
    default:
      result = sub_110D0(v3);
      break;
  }
  return result;
}

int __stdcall sub_110D0(char a1)
{
  int result; // eax
  char v2; // cl
  bool v3; // zf

  result = dword_13034 - 200;
  v2 = a1 ^ 5;
  switch ( dword_13034 )
  {
    case 200:
    case 202:
    case 204:
    case 206:
      goto LABEL_2;
    case 201:
      v3 = v2 == -76;
      goto LABEL_4;
    case 203:
    case 205:
      v3 = v2 == -113;
LABEL_4:
      if ( v3 )
        goto LABEL_2;
      goto LABEL_10;
    case 207:
      if ( v2 != -78 )
        goto LABEL_10;
      dword_13024 = 1;
LABEL_2:
      ++dword_13034;
      break;
    case 208:
      dword_13024 = 0;
LABEL_10:
      dword_1300C = 1;
      break;
    default:
      return result;
  }
  return result;
}

dword_13034 = 0初值为0, 所以结合scan code对照表可以分析出使得满足判断条件时的键盘输入字符串
[0xA5, 0x92, 0x95, 0xB0]
[0xB2, 0x85, 0xA3, 0x86] xor 0x12
[0xB4, 0x8F, 0x8F, 0xB2] xor 0x12 xor 0x05

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发(2)第一个NT驱动和NT驱动的编译
zuishikonghuan的博客
10-02 4557
在上一篇中,我简单介绍了驱动开发的基础知识,这一篇中,将介绍编写一个NT空壳驱动(驱动基础框架) 一、驱动入口 驱动程序的入口点是DriverEntry,此函数的原型是: extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath) 参数1:系统发来的驱动对象
all-in-one-wp-migration-file-extension.zip
04-07
4. **易用性**:即便是新手用户也能轻松上手,无须专业的技术背景。 不过,需要注意的是,虽然File Extension扩展提高了文件大小限制,但实际的上传限制还取决于你的服务器配置。如果你的主机提供商不允许更大的...
Pwnable.kr WP
AlexYoung28的博客
08-13 937
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable.kr wp flag
fa1c4的blog
01-17 253
题目 Papa brought me a packed present! let's open it. Download : http://pwnable.kr/bin/flag This is reversing task. all you need is binary 题解 // positive sp value has been detected, the output may be wrong! _BYTE *__fastcall sub_44A560(_BYTE *a1, _BYTE *a
ReversingKr-wp(5)
fa1c4的blog
07-13 186
reversingkr 13 - 15题 wp
pwnable.kr wp passcode
fa1c4的blog
01-17 230
题目 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) 题解 #include <stdio.h> #include &lt
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
雄迈摄像头模组50HV10PT-WP
08-20
4. 智能家居:随着物联网的发展,50HV10PT-WP可以整合到智能家居系统中,实现远程监控家庭安全。 三、开发实例 在50HV10PT-WP的开发过程中,工程师可能会面临以下挑战: 1. 硬件集成:将模组与电源、存储、无线...
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
class-wp.php
06-06
使用WordPress撰写中文文章的时候,如果说在固定链接中选择加入一个%postname%项,生成的url就会因为含有中文而无法被支持,网站显示404。这是需要进行更改后的文件,可以解决问题。
驱动对象(DRIVER_OBJECT)
门没锁的专栏
05-14 5681
每一个驱动对象代表着一个已经装载的内核模式下的驱动, 指向驱动对象的指针是驱动程序中以下例程的输入参数之一: DriverEntry, AddDevice, Reinitialize(可选例程),Unload(可选例程)。 驱动对象是一个半透明对象,驱动编写者必须熟悉它的某些成员对象,以实现驱动的初始化功能和卸载功能(如果该驱动能够卸载)。以下列出的是驱动对象中能被驱动访问的成员:   可访
不能将X*类型的值分配到X*类型的实体问题的解决方法
热门推荐
Jeannie2的博客
08-31 3万+
不能将X类型的值分配到X类型的实体问题的解决方法 今天在学习链表的过程中,遇到了这样一个问题 1、代码如下: typedef struct { ElemType data; struct LNode *next;//指向结点的指针,存放下一个结点的地址。所以是结点类型:struct LNode,地址就是指针:*next }LNode,*LinkList; 2、解决: 两个地方的报错都是这个问题,因为在定义结点结构体时,采用了匿名结构体的方法,这样在结构体中的LNode指针会比LNode结
Windows驱动开发(6) - DRIVER_OBJECT结构体
Vinx Blog
05-04 4095
Windows驱动开发(6) - DRIVER_OBJECT结构体typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVO
用Visual Studio 2015 编写驱动之前一定要注意的问题!!!
weixin_30546189的博客
01-15 194
如果你确定要使用Visual Studio 2015 编写驱动,那么在你安装Visual Studio 2015 和WDK之前,一定一定要注意一件事情,那就是确保SDK和WDK版本保持一致,切记切记!!!否则会出现什么问题,Visual Studio 2015里面宏定义的SDK和系统当前能够正常使用的不一致,无法正常编译驱动程序!!! 我今晚先前解决的问题就是这个原因造成的,当时我使用的SDK比...
windows驱动学习笔记
Always look out for number one.
01-13 4342
零零散散花了一个月的时间初步学习了windows驱动编程,接着开始要制定2013年的学习计划,即将步入另外一个学习战场,于是就将最近学习记录下来,也好将来再返回学习时有点基础。 一、windows驱动安装 1、到官方下载DDK安装,ex : 3790.1830.DDK 2、目录简介        示例代码: 安装目录/src/general/event/sys       编译:buil
windows驱动编程中的入口函数DriverEntry
苞米地里捉小鸡的博客
05-28 1306
1 入口函数的定义 NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) 这个函数的返回值是一个NTSTATUS类型,这个返回值的宏定义在ntstatus.h这个头文件中 2参数PDRIVER_OBJECT 它代表的是windows中的一个指向驱动对象的指针,前面的P就是Pointer的意思,这个驱动对象对应的就是我们要操作的.sys驱动 这个驱动对象是Wi.
windows驱动 - 第一个驱动
qq726232111的博客
12-08 966
0x00代码 //驱动程序 MyFirstDriver.c #include <wdm.h> //所有支持PNP的内核模式驱动程序都必须提供AddDevice例程. //DriverObject->DriverExtension->AddDevice 回调 /* DRIVER_ADD_DEVICE DriverAddDevice; NTSTATUS DriverAddDevice( _DRIVER_OBJECT *DriverObject, ...
搞明白IRP这个东东了
求索
05-18 4330
按照ms的步骤走了一遍,搞明白了,整点笔记记录一下,别忘了。 IRP的结构: [cpp] view plain copy print? typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP {      CSHORT Type;      USHORT Size;        //  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值