【逆向分析】期末上机

已于 2022-04-22 00:45:55 修改
阅读量341 收藏 1
点赞数
分类专栏: 逆向分析 文章标签: 逆向 flag
于 2022-04-20 13:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45972928/article/details/124295083
版权

程序链接:
链接:https://pan.baidu.com/s/1N0kQ-QcmJZ6038tBsKJjuA?pwd=6vlu
提取码:6vlu

逆向分析要有清晰的思路和足够的耐心

  1. 首先用PEiD对该程序进行查壳
    发现该程序被加壳,但是能正常运行

在这里插入图片描述

  1. 用cmd运行该程序
    可以发现提示输入字符串:please enter the username:、please enter the password: FLAG判断结果字符串:Wrong!

在这里插入图片描述

  1. 初次尝试使用IDA打开该程序
    发现不能成功打开,有报错信息

在这里插入图片描述

  1. 使用Ollydbg打开该程序

在这里插入图片描述

  1. 尝试寻找程序入口点
    a) 使用了堆栈平衡,但是ESP第一次变红之后设断点并不能找到入口点
    b) 一路F8发现了一个PUSHAD,可以进行尝试寻找,结果成功

在这里插入图片描述
在这里插入图片描述

c) 入口点为:0x00401300

在这里插入图片描述

  1. 按F8执行,发现在执行004013E4 E8 26FCFFFF CALL 12080085.0040100F后程序完全执行,所以再次执行,进入该函数段

在这里插入图片描述

  1. F8和F7交替使用,快速浏览程序,最终锁定两个函数
    a) 00401067 E8 99FFFFFF CALL 12080085.00401005 进入运行之后发现其功能为输入用户名和密码

在这里插入图片描述
在这里插入图片描述

b) 00401083 E8 82FFFFFF CALL 12080085.0040100A
进入运行之后发现功能为判断函数

在这里插入图片描述

  1. 猜测函数12080085.0040100A为关键函数,对其进行进一步分析
    a) 锁定CMP和JNZ,猜测为判断用户名和密码是否合法,F8执行进行验证,发现与猜测吻合

在这里插入图片描述

b) 首先看第一个CMP位置00401185 3B45 0C CMP EAX,DWORD PTR SS:[EBP+C]
可以进行内存地址数据跟随,发现DWORD PTR SS:[EBP+C]值为==》0019FEC0 34 12 CD
AB,这就是我们之前输入的密码,而且这里输入的小写转换为了大写格式,所以该程序将我们的输入以16进制读取入内存 EAX
FFA276A2我们猜测就是该程序的flag,先记着

在这里插入图片描述

c) 输入上一步猜测的flag再次调试程序
顺利执行到下一步,没有进行跳转,说明找到了正确的flag

在这里插入图片描述
在这里插入图片描述

d) 分析第二个CMP:0040118D 3B05 347A4200 CMP EAX,DWORD PTR DS:[427A34]
这里的EAX值为123456,是我们之前输入的用户名 那么DWORD PTR DS:[427A34]==》00427A34 D5 53
B8 00就是正确的用户名(B853D5)

在这里插入图片描述

  1. 测试结果的正确性
    程序输出Congrulation!!,表示我们登录成功

在这里插入图片描述

酥酥~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2021-09-10 网安实验-XCTF真题实战之逆向分析
时光隧道
09-10 4万+
知识点 一、图片搜索 使用 https://images.google.com/ 或者 http://shitu.baidu.com/ 等网站,可以上传一张图片进行搜索,搜索结果中展示是上传图片相同或者相似的图片以及对应的引用页。 使用图片搜索功能可以快速找到与图片相关的各种信息。 二、ILSpy ILSpy是一个开源的.NET反编译软件,可以还原.NET程序的源代码,使用起来十分方便。开发ILSpy起源于早起的.NET反编译软件.NET Reflector宣布停止更新,所以开发者开发了这一款开源的ILSp
逆向分析
Ni9htMar3的博客
06-01 1848
逆向分析题 nag.exe TraceMe.exe
[Re]南邮ctf平台逆向
Hello World.c
12-03 1617
继续学习,这次尝试做了一下南邮ctf平台的逆向题来练习 目录 第一题 HELLO,RE! 第二题 ReadAsm2 第三题 Py交易 第四题 WxyVM 第五题 maze 第六题 WxyVM 2   第一题 HELLO,RE! 打开ida,找到main函数按F5,hexray反编译 就在眼前 flag{Welcome_To_RE_World!} 第二题 ReadAs...
逆向分析 期末复习
weixin_43175146的博客
12-14 901
逆向分析期末复习 汇编语言 汇编语言是用于电子计算机,微处理器,微控制器或者其他可编程器件的低级语言,也成为符号语言。汇编可以理解是机器语言的助记版本。在不同的设备中,汇编语言根据不同的机器语言指令集通过汇编解释成不同的机器指令。由于不同设备对一些指令支持不同,设备规格也有差距,因此汇编语言在不同规格的设备上一般没有可移植性。 寄存器一般用途 一些汇编指令解释 div指令:div指令是无符号除法指令,他将eax或者edx寄存器作为被除数,将一个寄存器或者是一个立即数作为除数,运算结果中商放在eax中,余数
南邮 逆向 部分题解
木槿华年的博客
08-24 3249
转自: https://blog.csdn.net/xiangshangbashaonian/article/details/78878876 Hello,RE! 首先可以看到提示如下     我还是查了一下 无壳 提示用IDA 那我们就载入 shift+f12查找字符串 在ida浏览A界面选定要查看的函数,按f5看到了伪代码, 于是点击字符串按R转化为其实际值 ...
逆向工程作业
weixin_46601374的博客
09-26 943
一.什么是逆向工程? 简称RE,一般指,通过分析物体,机械设备或系统,了解其结构,功能,行为等。 二.代码逆向工程是什么? 代码逆向工程(Reverse Code Engineering,简称RCE )是逆向工程在软件领域中的应用,目 前还没有准确而统一的术语,实际交流中经常出现混用的情况,常用术语有RCE、RE、逆向工 程等,使用起来较为随意。 三.逆向工程的分析法 1.静态分析法 静态分析法是在不执行代码文件的情形下,对代码进行静态分析的一种方法。静态分析时并 不执行代码,而是观察代码文件的
南京邮电大学网络攻防训练平台逆向第四题WxyVM
u014738665的博客
02-13 489
1、IDA静态分析 总结: 1、1:长度必须是0x18 1、2:v4必须是==1 1、3:循环比较InputBuff[X]==dword_601060[X]   2、分析sub_4005B6函数(VStartVM) 2、1:F5伪代码 总结: 这是一个典型的VM框架 扩展知识(参考加密与解密3): 虚拟机保护技术就是基于x86汇编系统的可执行代码转换为字节码指令系统的...
易语言逆向分析助手3.0
08-04
《易语言逆向分析助手3.0:深入解析与应用》 易语言逆向分析助手3.0是一款专为易语言编程爱好者和安全研究人员设计的工具,它旨在帮助用户理解和剖析由易语言编写的程序,进一步提升逆向工程的效率。易语言是中国...
radare2 逆向分析软件
11-20
radare2是一款开放源代码的逆向工程平台,它可以反汇编、调试、分析和操作二进制文件。 radare2(雷达,简称r2)是个基于命令行的逆向工具,但其能力完全不亚于IDA pro。包括反汇编、分析数据、打补丁、比较数据、...
逆向分析技术查看数据123
01-17
有关逆向的文件
AES算法逆向分析.docx
05-14
AES算法逆向分析,AES的全称是Advanced Encryption Standard,意思是高级加密标准。AES出现主要是为了替代DES加密算法,DES算法的密钥长度是56Bit,算法的理论安全强度是2的56次方。但在二十世纪中后期,计算机飞速...
逆向分析学习路线.pdf
04-13
逆向分析学习路线.pdf
南邮ctf答案php是世界,南邮ctf训练平台逆向试题wp
weixin_39834475的博客
03-25 151
第一题:hint已经给的很明白了: IDA 进去 ,对那堆数字按R 就好第二题:low_addrrsp0x10x4相对地址0x180x1chigh_addrrbp00000000004004e6:4004e6:55pushrbp4004e7:4889e5movrbp,rsp4004ea:4...
集合 | 南邮期末考试回忆
Wonz
02-10 3093
回忆自己考过的期末考试。 南邮《数据结构A》2017/2018学年第二学期期末考试回忆 南邮《微型计算机原理与接口技术》2017/2018学年第二学期期末考试回忆 南邮《汇编语言程序设计》2018/2019 学年第一学期期末考试回忆 南邮《操作系统A》2018-2019学年第一学期期末考试回忆 南邮《离散数学》2018-2019学年第一学期期末考试回忆 南邮《算法分析与设计A》2018-201...
滴水逆向学习
qq_63685461的博客
01-23 274
一.寻址公式 [立即数] 1.读取内存的值 MOV EAX,DWORD PTR DS:[0x13FFC4] 读DWORD 即读取内存地址为 0x13DDC4 0x13FFC5 0x13FFC6 0x13FFC7 的内存下存的值 2.向内存中写入值 MOV DWORD PTR DS:[0x13FFC4],EAX 即将EAX中的值 写入地址为0x13DDC4 0x13FFC5 0x13FFC6 0x13FFC7 的内存下 3.获取内存编号 LEA EAX,DWORD PTR DS:[0x12..
udp分片报文pcap文件
07-18
udp分片报文pcap文件:64kudp大包分成每片658字节总计100片
计算机教学导案.doc
07-18
计算机
摩根:2024年大市前瞻.pdf
最新发布
07-18
摩根:2024年大市前瞻
计算机控制专业技术专题实习任务书温度控制.doc
07-18
计算机
VMProtect逆向分析:寄存器染色与静态还原探索
"VMProtect逆向分析, 静态还原, 寄存器染色, VMP, 逆向工程, 虚拟机保护, 字节码, 汇编转换, 寄存器轮转, 二义性问题" VMProtect是一款强大的虚拟机保护软件,它利用虚拟机技术对目标程序进行保护,将原始的机器码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值