ctf
爱吃素的武士
这个作者很懒,什么都没留下…
展开
-
unity游戏加密dll怎么还原
II2CppDumper原创 2022-06-03 18:33:58 · 457 阅读 · 0 评论 -
CE修改器修改后恢复如何解决
把你想改的地址选中,右键点击“找出是什么改写了这个地址”,弹出提示框“将使用ce调试器调试当前进程.继续?”点“是”。会弹出一个空白的窗口,然后让怪打你,这时刚才弹出的窗口内应该会出现1或2个汇编代码,选中它,点击 "替换" 按钮,然后”确定“,再 点击 "停止" 。再改数值就不会变了。...原创 2022-05-16 02:08:18 · 17543 阅读 · 3 评论 -
x64dbg技巧
1.CTRL+G 跳转到某一个位置。原创 2022-04-06 19:19:22 · 615 阅读 · 0 评论 -
x64dbg修改后保存到exe
方法:右键------->补丁------->修补文件注:1、快捷键为ctrl+P ,直接 Ctrl+P---->修补文件 即可2、保存时输入.exe,比如test.exe3、本操作相当于另存为原创 2022-02-05 00:31:48 · 3905 阅读 · 0 评论 -
IDA 逆向代码 --- LOBYTE、HIBYTE、BYTE0~BYTE3 的使用
场景:IDA 反编译的代码,对于取当前数的某位时,使用的是LOBYTE、HIBYTE、BYTE1~BYTE8,但是实际上,IDA反汇编的代码里面BYTE0和 BYTE8从来没有用过。需要知道其具体的意义。分析,这些类型数据都存储在defs.h 中,我们逆向代码的时候可以直接将此文件加到工程中,直接创建一个win32工程,贴下列代码://测试 LOBYTE、HIBYTE typedef unsigned char uint8;#define _BYTE uint8#define _WO.原创 2021-03-29 20:17:55 · 3411 阅读 · 0 评论 -
汇编语言数据类型汇总
汇编语言中所用到的基本数据类型为:字节型、字型、双字型、四字型、十字节型、字符串型;二进制位的顺序都是从右向左数,最右边的第一个二进制位称为最低位,即:第0位;最左边的第一个二进制位称为最高位;最小的存取单位为一个字节(8bits);1.字节型(DB):该类型又称为单字节类型;即:只使用一个字节(8个二进制位)的长度来存储一个变量;其中,最高位是第7位,最低位是第0位;如果用单字节类型表示有符号数时,最高位为符号位,表示范围是[-128,+127];如果用单字节类型表示无符号数时,表示.原创 2021-03-28 22:39:48 · 4664 阅读 · 0 评论 -
未注册软件修改练习
题目:https://github.com/kabrate/crack/tree/master/crack/%E6%8F%90%E7%A4%BA%E6%9C%AA%E6%B3%A8%E5%86%8C利用SetWindowstextA函数断点后如下。F8不断观察函数,call 函数是运行完之后一层一层反回上一层,返回4次之后,见下图。因为验证过程发生在之前,往前找找到内容如下。修改后...原创 2021-03-07 22:07:24 · 112 阅读 · 0 评论 -
IDA7.0提示Oops! internal error 1491 occured.解决办法
问题描述IDA7.0有两个程序,一个ida.exe用于调试32位程序,另一个ida64.exe用于调试64位程序。在使用ida.exe调试32位程序时,出现了“Oops! internal error 1491 occured.”的警告,解决办法进入IDA文件目录下的\dbgsrv\win32_remote.exe,打开该程序,然后再启动ida.exe,在调试模式中选择Remote Windows debugger,如下图:对所有弹出的窗口直接Enter掉,到参数选择界面时将Hostname原创 2020-11-21 16:12:45 · 1998 阅读 · 0 评论 -
从0到1ctfer成长之路配套逆向题 babyconst
来源:https://book.nu1l.com/tasks/#/pages/reverse/5.41.用ida打开发现是输入一个48位的字符串加密后进行比较。2.发现第一个函数中涉及到了一些常数,用para检查后发现是属于md5加密。3.分析后发现603080位置开始存放着加密后的字符串,正好每次地址位置差16也就是16进制的十,每个地址保存着一个字节也就是8位,是四个字符加密后形成了32位。4.找到一个在线的md5解码网站,查询后还原得到4位,重复12次后,得到fla原创 2020-11-07 20:50:38 · 529 阅读 · 0 评论 -
yara安装以及使用
1.yara官方github库https://github.com/VirusTotal/yara/releases2.恶意软件库https://github.com/ytisf/theZoo3.yara规则https://github.com/Yara-Rules/rules4.yara规则自定义https://www.cnblogs.com/SunsetR/p/12650325.html原创 2020-11-07 16:49:12 · 957 阅读 · 0 评论 -
Windows下给IDApro 安装yara-python报错原因及解决
在IDA pro7.0上安装findcrypt这个插件。源地址:https://blog.csdn.net/u011718707/article/details/107571811而findcrypt这个插件需要依赖python的yara-python模块。因此先安装yara-python。因为要用到pip安装,并且是给IDA自带的python安装模块。所以事先需要把当前python2的环境变量修改为IDA使用的python2.修改完成后pip -V 就能查看当前使用的pip信息然后使用p转载 2020-11-07 12:47:58 · 2267 阅读 · 2 评论 -
从0到1ctfer成长之路配套逆向题 babyalgo
题目来源:https://book.nu1l.com/tasks/#/pages/reverse/5.41.找到main函数,反编译并修改相应的变量名和变量类型后得到如下结果__int64 __fastcall main(__int64 a1, char **a2, char **a3){ __int64 result; // rax signed int i; // [rsp+Ch] [rbp-E4h] char key[10]; // [rsp+10h] [rbp-E0h] ...原创 2020-11-05 21:49:24 · 531 阅读 · 0 评论 -
ida 在虚拟机中实现linux remote debugging
1.背景真机:win10x64 ida pro 7.虚拟机:kali 2020.3x642.设置允许Dbug在Kali-Linux-2020.3-vmware-amd64.vmx文件中加入下面三行debugStub.listen.guest64 = "TRUE"debugStub.hideBreakpoints= "TRUE"debugStub.listen.guest64.remote = "TRUE"3.调试1.找到win10中IDA的安装目录,在安装目录下会有linu...原创 2020-11-05 19:27:13 · 1238 阅读 · 1 评论 -
ida实用技巧
debugger->debugger windows ->locals找到相应的变量 1.在寄存器中找到相应的位置更换变量类型,比如用a键将其转化为字符串。2.直接在定义变量的位置更换变量类型,比如从_byte *改为 char *,就可以在locals中刷新后显示。通过这个操作可以将变量转换数组,将数据类型修改为 对应的类型的指针 例如 char *a1。12 修改反汇编代码 可以用F2 Edit-patch program。5.修改伪代码变量类型 快捷键y。6.修改汇报中的变量类型。原创 2020-11-04 18:35:50 · 2965 阅读 · 1 评论 -
研究生创新联盟高校首届“卓朗杯”研究生网络与信息安全技术大赛河北省选拔赛部分WP
题目一 签到题点击F12进入开发者模式,重新访问网页,得到几个样式文件。在样式文件index.js中搜索flag,发现将这串代码复制到console控制台执行,得到最后的flagflag{CuB4_@nd_JSfuck}题目二 re1(用Exeinfo PE查看发现用upx.exe加壳了。2.用 upx.exe -d 指令去壳3.用ida pro转为伪汇编分析代码发现flag就是”HappyNewYear!”...原创 2020-10-26 16:57:54 · 1618 阅读 · 6 评论 -
攻防世界 csaw2013
http://blog.eonew.cn/archives/905https://blog.csdn.net/qq_43786458/article/details/102150779原创 2020-10-25 12:27:31 · 126 阅读 · 0 评论 -
bugku love
ida分析找到flag的位置思路是base64加密加数组标号后和flag进行对比。安装相反的思路编写代码。import base64str = "e3nifIH9b_C@n@dH"f = ''flag = ''#要用到下标for i in range(len(str)): f += chr(ord(str[i])-i)flag = base64.b64decode(f)print(flag)...原创 2020-10-24 23:59:24 · 142 阅读 · 0 评论 -
bugku 逆向入门
1.Exeinfope0.0.5.3查看结构,发现不是可执行文件。2.以文本形式打开后提示是base64,base64转图片。原创 2020-10-24 22:21:21 · 142 阅读 · 0 评论 -
bugku 游戏过关
1. 查看PE结构,发现无壳。2.用智能搜索插件发现输入成功时flag信息找到程序入口,记录地址。用智能搜索插件找到第一个跳转点,修改跳转后的位置使输入后直接跳转输出flag。原创 2020-10-23 19:49:35 · 161 阅读 · 0 评论 -
bugku Easy_Re
1.先查看壳,发现没有壳2.OD用OD搜索字符串原创 2020-10-23 16:14:41 · 266 阅读 · 0 评论 -
逆向工具的使用(更新中)
1. IDA Prohttps://blog.csdn.net/hgy413/article/details/6956847原创 2020-10-23 15:59:42 · 179 阅读 · 0 评论 -
bagku easy_vb
下载文件后用Exeinfope0.0.5.3查看,发现没有壳,而且是源码是VB。搜索中文指令得到flag原创 2020-10-23 15:33:29 · 105 阅读 · 0 评论 -
bugku入门逆向解法
下载文件后用Exeinfope0.0.5.3查看,发现没有壳。用IDA打开,找到main函数的位置,发现printf后有一堆mov指令,用R指令转为字符串,得到flag。原创 2020-10-23 14:48:20 · 148 阅读 · 0 评论