- 博客(6)
- 收藏
- 关注
RSS订阅原创 DASCTF x CBCTF 2024 Reverse
运行程序程序,输入key,验证通过,最后返回正确值,然后进入到sub_7FF720091217,这个函数根据输入的key对data进行修改,从而得到正确的加密流程,非预期的做法则是通过观察data文件结合PE文件的知识直接拿到异或的key值。比如我输入key为1234567890123456,那么就是他就会转化为8个数:12,34,56,78,90,12,34,56。ida打开,代码真是依托答辩呐,可恶的ollvm,还好我有D810,直接启动,然后加密逻辑很简单,就是有个反调试,会改变密文。
2024-04-22 20:06:34
967
原创 Palu2024_reverse
最良心的一道题目了,真-运行就有flag,ida打开,用Graph看,发现左边流程部分没有被识别出来,正常流程走的也是右边,那就patch一下进去康康,把jz改成jnz。然后ida打开正常,但main()函数无法f5,提示是在0x2356处出了问题,我们定位到次处,点开sub_26C0这个函数,发现并没有关键的加密部分,那就先nop掉。一打开人直接头晕了,半点"茶(TEA)"的样子都看不来,不过看着前面的一堆也只是移位之类的操作,那就不管了,直接定位到关键的encs加密,点进去康康。事不宜迟,动调,启动!
2024-04-22 16:11:17
1150
1
原创 西湖论剑2023 Dual personality 复现
CS = 0x33,执行64位程序。那么这个程序是如何实现天堂之门技术的呢,在里面我们可以发现sub_401120这个函数,而我们用ida32打开并动调,执行完这个函数后,会发现程序变得非常诡异,完全不知道接下来是怎么运行的,其实这时已经进入了64位程序并执行了,但在ida32或x86dbg中都是完全无法追踪这个过程。而我们可以看到在新生成的指令中有0x33的字样,可以得知就是这里jmp到401120后,把cs寄存器的值改成了0x33,进入了64位程序执行模式,也就是这题的万恶之源。
2024-03-08 14:57:13
996
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人