- 博客(2)
- 收藏
- 关注
RSS订阅原创 GKCTF EzMachine
运行一下程序 检测程序,32位无壳,直接用IDA打开 字符串窗口没找到有用的字符串,改用x32dbg动调,搜索ascii字符串找到关键字符串 根据当前地址在IDA中找到对应的函数sub_4E10E0 可以看到一个switch结构,题目名称明显表示这是个vm题,一开始猜测这就是dispatcher,后来发现并不是,在x32dbg中动调发现,程序在case3也就是输出“plz input”字符串后,跳到了地址为4E1594处,一开始我把这部分声明成一个新函数,但是反编译出来的c代码根本没法读,只好动调
2021-03-23 17:29:37
218
原创 buuctf signal
32位程序无壳,直接IDA打开 关键函数为vm_operad,跟进查看 switch结构里对输入做了大量操作,很明显是一道VM题,分析以下switch各个分支的操作,可以看到case 10对输入进行操作,case 1将加密后的输入存到v4数组里,case 7判断v4数组是否正确 了解了这些需要知道每次循环对应执行的是哪一个switch分支,控制switch结构的a1数组可以在数据段里找到 shift+E将数据dump出来,由于每个switch分支里对v10的操作不是每次自增1,所以需要写脚本把每次循
2021-03-15 20:06:44
323
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人