学习打卡篇八
每天学习一点点
认识壳
在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,所以就把这样的程序称为壳。
壳的分类
通常将壳分为两类,一类是压缩壳,另一类是加密壳。
- 压缩壳 :使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。通常压缩壳有两类用途,一种只是单纯用于压缩普通 PE 文件的压缩壳,而另一种则会对源文件进行较大变形,严重破坏 PE 文件头,经常用于压缩恶意程序。常见的压缩壳有:Upx、ASpack、PECompat。
- 加密壳 :加密壳或称保护壳,应用有多种防止代码逆向分析的技术,它最主要的功能是保护 PE 免受代码逆向分析。由于加密壳的主要目的不再是压缩文件资源,所以加密壳保护的 PE 程序通常比原文件大得多。常见的加密壳有:ASProtector、Armadillo、EXECryptor、Themida、VMProtect。
攻防世界新手练习题
1.insanity
题目描述:菜鸡觉得前面的题目太难了,来个简单的缓一下
题目附件:https://adworld.xctf.org.cn/media/task/attachments/428f6e6f75754fca8964d35b16a4b709
查壳:
得知:32位ELF文件无壳;
用IDA打开:
直接“alt+t”搜索flag
得到flag!
2.simple-unpack
题目描述:菜鸡拿到了一个被加壳的二进制文件
题目附件:https://adworld.xctf.org.cn/media/task/attachments/847be14b3e724782b658f2dda2e8045b
查壳:
得知:64位ELF文件;加壳UPX;
第一做法:脱壳之后用ida打开
第二种:暴力求解直接用记事本打开:
可以看到flag(去掉中文)和一系列信息。
flag:flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny}
3.logmein
题目描述:菜鸡开始接触一些基本的算法逆向了
题目附件:https://adworld.xctf.org.cn/media/task/attachments/a7554d316da840d3a381e4e8348201e9
查壳:
得知:64位ELF文件,无壳。
用ida打开,之后F5反编译成C语言。
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
size_t v3; // rsi
int i; // [rsp+3Ch] [rbp-54h]
char s[36]; // [rsp+40h] [rbp-50h]
int v6; // [rsp+64h] [rbp-2Ch]
__int64 v7; // [rsp+68h] [rbp-28h]
char v8[8]; // [rsp+70h] [rbp-20h]
int v9; // [rsp+8Ch] [rbp-4h]
v9 = 0;
strcpy(v8, ":\"AL_RT^L*.?+6/46");
v7 = 28537194573619560LL;
v6 = 7;
printf("Welcome to the RC3 secure password guesser.\n", a2, a3);
printf("To continue, you must enter the correct password.\n");
printf("Enter your guess: ");
__isoc99_scanf("%32s", s);
v3 = strlen(s);
if ( v3 < strlen(v8) )
sub_4007C0(v8);
for ( i = 0; i < strlen(s); ++i )
{
if ( i >= strlen(v8) )
((void (*)(void))sub_4007C0)();
if ( s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) )
((void (*)(void))sub_4007C0)();
}
sub_4007F0();
}
分析代码:
进入 sub_4007C0(v8);
进入 ((void ()(void))sub_4007C0)();
进入 ((void ()(void))sub_4007C0)();
得到flag的语句
写代码实现
#include<stdio.h>
#include<string.h>
#define BYTE unsigned char
int main()
{
int i; // [rsp+3Ch] [rbp-54h]
char s[36]=""; // [rsp+40h] [rbp-50h]
int v6; // [rsp+64h] [rbp-2Ch]
__int64 v7; // [rsp+68h] [rbp-28h]
int v9; // [rsp+8Ch] [rbp-4h]
v9 = 0;
char v8[18]=":\"AL_RT^L*.?+6/46";
v7 = 28537194573619560LL;
v6 = 7;
for ( i = 0; i < strlen(v8); ++i )
{
s[i] = (char)(*((BYTE *)&v7 + i % v6) ^ v8[i]);
}
printf("%s\n",s);
}
得到flag
***
结尾
今天的学习就到这吧!