Reverse
学习逆向记录
AlwaysBetter
男儿何不带吴钩
展开
-
ezam [CTF reverse] wp
程序开了ollvm混淆可以利用deobfuse.py脚本去混淆逻辑是xtea解密 异或操作后得到一个数组其实是迷宫问题,将十进制转为4进制 映射到上下左右动态调试 提取出地图 跑dfs获取路径 再转为十进制即可这里转换的函数思想是模拟短除法 不断对base取模 一直除到0代码如下:#include <stdio.h>#include <string.h>unsigned char mp[][24] ={ 0x01, 0x00, 0x00, 0x00, 0x00原创 2022-05-10 16:17:38 · 392 阅读 · 0 评论 -
ScllaTest 若干检测调试手段
从ScyllaTest 学习若干64位 反调试手法AntiDbg是一个繁多且深入的领域,前人们的奇思构想,深入研究 诞生了许多经典的反调试方法,常见的已有20几种,若加上各种针对插件,调试器的主动攻击防御,恐有百种. 不过许多方法在最新win10 x64位已经失效,其中思想仍值得学习,目前开源的反反调试工具中十分出色的是ScyllaHide,这里仅针对ScyllaTest用到的反调试手段进行总结Process Environment Block(PEB)最重要的反调试检测手段,几乎所有的反调试器都原创 2021-12-01 09:52:44 · 293 阅读 · 0 评论 -
2021西湖论剑 Re wp
菜狗是不可能AK的, 只能靠做一道签到维持生活这样子ROR用z3 一把梭了:from z3 import*res_box = [ 0x65, 0x55, 0x24, 0x36, 0x9D, 0x71, 0xB8, 0xC8, 0x65, 0xFB, 0x87, 0x7F, 0x9A, 0x9C, 0xB1, 0xDF, 0x65, 0x8F, 0x9D, 0x39, 0x8F, 0x11, 0xF6, 0x8E, 0x65, 0x42, 0xDA, 0xB4, 0x.原创 2021-11-23 17:06:50 · 615 阅读 · 6 评论 -
Manual Mapping Inject
代码资料弄丢了,实在痛苦, 参照GuideHacking新写一份manual mapping,收获还是有,之前一直崇尚c with class式编程,不习惯用c++的io库 跟 智能指针, 约束类型转换, 学习了Guidehacking的写法 发觉c++的有些语法其实还蛮优雅的, 当是复习memoryloader知识,熟悉c++若干语法吧. 现在看来,GayHub确实香.代码放gayhub上了 manualmappingtip为了实现更好的隐藏, 我做了一点优化,把需要修复的表字段事先保留 当成.原创 2021-08-15 11:19:53 · 367 阅读 · 0 评论 -
参照[0day安全]写的shellcode编码器
#include <stdio.h>#include <windows.h>/*void decoder(){ __asm { add eax,0x14 xor ecx,ecx decoder_loop: mov bl,[eax+ecx] xor bl,0x44 mov [eax+ecx],bl inc ecx cmp bl,0x90 jne decoder_loop }}*/unsigned char decoder[] ={原创 2021-05-04 13:06:10 · 217 阅读 · 0 评论 -
msf生成弹出calc一段shellcode分析
00446000 | FC | cld |00446001 | E8 82000000 | call shellcodeanalyse.446088 |00446006 | 60 | pushad |00446007 | 89E5 | mov ebp,esp原创 2021-04-30 12:24:29 · 2488 阅读 · 0 评论 -
[0day]ShellCode分析
学习了一份shellcode 记录一下分析#include <stdio.h>#include <string.h>#include <stdlib.h>int main(){ __asm { jmp mainbegin __emit 'B' __emit 'E' __emit 'G' __emit 'I' __emit 'N' __emit '\0' } mainbegin: _asm { nop nop原创 2021-04-27 20:40:30 · 227 阅读 · 1 评论 -
peb获取进程加载模块
重要结构体typedef struct _PEB { // Size: 0x1D8/*000*/ UCHAR InheritedAddressSpace;/*001*/ UCHAR ReadImageFileExecOptions;/*002*/ UCHAR BeingDebugged;/*003*/ UCHAR SpareBool; // Allocation size/*004*/ HANDLE Mutant;/*008*/ HINSTANCE ImageBaseAddress; //.转载 2021-04-26 15:26:37 · 305 阅读 · 0 评论