xctf(ddctf) Windows_Reverse2 脱壳

最新推荐文章于 2023-07-30 15:30:00 发布
最新推荐文章于 2023-07-30 15:30:00 发布
阅读量833 收藏 1
点赞数 3
分类专栏: CTF 文章标签: 脱壳 xctf ddctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34905587/article/details/103948029
版权

1.星期天闲着没事做做这个

od直接开trace

然后写个脚本化简下文件

import re
def isdigit(a):
	try:	
		int(a,10)
		return 1
	except Exception as e:
		try:	
			int(a,16)
			return 1
		except Exception as e1:
			return 0
f1=open("ddctf-1.txt","rb")
f2=open("ddctf-3.txt","a+")
line=f1.readline()
while line:
	line=f1.readline().replace('\r\n','\n')
	if isdigit(line[:5])!=0:
		if re.match( r'00AF(.*) main', line, re.M|re.I)==None:
			#print(line)
			a=1
		else:
			#print(list(line))
			f2.write(line)
	else:
		#print(list(line))
		f2.write(line)
f1.close()
f2.close()

直接翻了翻

看这地址跳这么远,就猜是oep了

od插件直接dump出来,

dump出来就像下面的鬼样子

用了下ImportRec 去修复IAT,并没有什么鸟用,看来还得手工修复

在od中main里面去找iat

就在0x2000这么个地方

结果dump出来不对就往后面翻了翻

结果0x2320那么个地方就是

所以直接把0x2320位置的数据copy过去

再选个位置建import表

最后NT结构里面去改下偏移和size

结果改完了,它还要给我日怪

发现运行不成功,还得把重定位去掉。

很明显base64的标志,只是变了下把输入的转成hex,然后在base64编了他么的一下

2.总结一下

import 表

指向的

这个地方是rva,在010中看得(rva-对应得offset+ 物理对应得offset)

OrginalFirstThunck和FirstThunk都可以指向同一个地方

大帅锅1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1057
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
XCTF Windows_Reverse2
lhk124的博客
07-24 484
1.查壳,脱壳。 壳:aspack 可以手工脱壳或者用工具 1.取值范围和长度的判断(如图) 2.sub_401240:可以通过减去的值判断出:最后的值的取值范围是0-15,所以判定为转换为16进制 3.sub_401240里的sub_401000函数:base64的加解密的魔改 所以,程序的正向逻辑是: 输入,判断长度是否为偶数,是否在'0'->'9' 'A'->'F'之间 在sub_401240转换为16进制 在sub_401000里进行base64魔改加密,最终结果为...
Windows_Reverse2 攻防世界
re1wn
04-03 1157
Windows_Reverse2 攻防世界
xctf windows_reverse1
weixin_45701079的博客
10-24 354
xctf windows_reverse1 日常水一波 这道题是有加壳的(upx),用010分析就知道了 脱壳之后找到动态调试不行,经大佬讲解,发现win7之后加入了ALSR,然后这个文件不支持ALSR,所以动态调试不行,只能用ida打开 乍一看,v4和v6没有任何关系,但是查看汇编 把v4的地址放入了ecx,然后看调用的函数 v1的保存值就是ecx,所以思路就出来了。v1的值就是main函数的v4的值 然后通过地址相减(仔细看上图会发现是个负数),然后地址的差值作为另一个的索引,这里用了溢出,然后找到
CTF REVERSE练习之脱壳分析
最新发布
xnxqwzy的博客
07-30 334
今天要介绍脱壳分析的实验。壳,在自然界中,植物用壳来保护种子,动物用壳来保护身体等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。他们附加在原程序上通过Windows加载器载入内存后,先于原始程序的执行,得到控制权,执行过程中对原始程序进行解密和还原操作,还原后再把控制权交给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可防止程序被静态反编译。
ddctf_fix_success.exe
01-12
脱壳修复成功
xctf.rar_HTML5自适应
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_应付管理标准功能培训.pptx
10-11
XCTF_A_应付管理标准功能培训.pptx
软件集成工具(mysql+redis+nacos+consul)
02-02
************************ ** 集成工具使用文档 ** ************************ 启动程序项目会依赖各种服务,给服务器造成一定消耗 本地部署服务,也需要启动虚拟机、运行命令、等繁琐操作 基于该目的,将集成一款具有多组环境,且易于部署的集成包 运行平台:windows mysql/5.7.9 redis/3.2 nacos/1.1.4 consul/1.9.1 说明: 1 各个项目可以独立运行bat,且具有自定义性 2 _run.bat用于一键启动服务
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 779
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
攻防世界逆向高手题之Windows_Reverse2
沐一 · 林 的博客
09-14 630
攻防世界逆向高手题之Windows_Reverse2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse2 . . 下载附件,照例扔入exeinfope中查看信息,发现ASPACK壳,也提示了使用ASPACK unpack脱壳工具脱壳: . . 用WASPACK脱壳工具脱壳后,运行不了,,,扔入IDA32中查看伪代码信息,有main函数看main函数: . . (这里积累第一个经验) 可以发现三个关键部分,大概是三层逻辑修改。双击跟踪sub_7F11F0()函数,内
reverse】新160个CrackMe之116-REM-KeyGenME#10——脱壳、去背景音乐、识别反调试
hans774882968的博客
09-04 324
发现有些代码变成了数据,但因为没有标红的代码,不像是插入了花指令。的时候,发现这句指令执行时间比其他语句长,断定这是音乐播放的函数。x64dbg实测执行时间比其他语句时间长,但感受差别比较小,不容易注意到。这个exe需要手动脱壳、去背景音乐、有反调试,可惜算法较简单,勉强如参考链接1所说,“列入精品软件”。看了参考链接1,知道是upx壳,但upx命令脱壳失败。,但因为我们用的是先进的IDA7.7,不用管它直接F5!参考链接1找到音乐播放函数的方法是:单步执行,执行到。,有壳且暂时不知道是什么壳。
190505 逆向-DDCTF2019(Reverse)
热门推荐
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
DDCTF 2019 逆向题writeup(二)
每昔的博客
04-13 3477
文章目录总结脱壳分析定位关键call逆向分析编写脚本 总结 其实输入只能是0-9和A-F有很大的提示作用,开始没想明白 and和add没看清,走了很多弯路 python模块itertools的排列组合函数 结合IDA分析会简便,但是太烂不想脱壳dump 脱壳分析 首先是一个ASPack 2.12 -> Alexey Solodovnikov。利用ESP定律脱壳。 定位关键call 这个c...
DDCTF 2019 writeup Wireshark
Barzar的博客
04-20 1611
DDCTF 2019 Wireshark写在最前分析数据包分析文件解码 写在最前 总的来说这是一道挺常规的Wireshark分析题,一般的wireshark题的信息总是隐藏在http的url,html或者图片里面,所以一般拿到Wireshark的题直接奔http就行啦 要是不在http我就不承认我说过这句话 Wireshark数据包下载地址 分析数据包 拿到数据包先搜索http 通过分析发现ht...
CTF逆向(Reverse)知识点总结
ZXW_NUDT的博客
07-08 2614
CTF逆向(Reverse)知识点总结
pure_color xctf
07-16
### 回答2: pure_color xctf 是一项竞技性的网络安全挑战赛。XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值