- 博客(10)
- 收藏
- 关注
RSS订阅原创 加密与解密 基础篇 笔记
由于多次翻看这个基础篇,对于特别基础的就不在做过多的笔记,1. 现代的ASCii表是一个7位编码标准 反位00h~7Fh。。Unicode是ASCII字符编码的一个拓展,所有字符都是16位的,其中的7位ASCII码都被扩充为16位,2.字节存储顺序 分两种Big-endian:高字节存入低地址,低位字节存入高地址Little-endian 低位字节存入高地址,高位字节存入低位地址3 API函数提供应用程序运行的窗口管理,图形设备接口,内存管理等服务功能,这些函数库的形式组织在一起,形成了W
2021-12-10 19:05:43
321
原创 动态调试 OD篇
动态分析技术 OD篇动态分析分为用户模式和内核模式*用户模式调试器是指用来调试用户模式应用程序的调试器,*内核模式调试器是指能调试系统内核的调试器OllyDbg1、 ollyDbg是一款具有可视化界面的用户模式调试器,可以在各种版本的windows上运行,一般只能分析32位的可执行程序2、 ollyDbg的cpu窗口包括五个面板窗口,分别是反汇编面板,寄存器面板,信息面板,数据面板和栈面板*反汇编面板窗口的快捷键Addres例:显示被双击行地址的相对...
2021-12-03 16:28:22
1975
原创 C语言函数
这篇文章只是记录一下我经常忘记的C语言函数,让我呢个对这些函数加深一遍印象,可能还是用的少,有时候就是在IDA里看着那些C语言伪代码,总是感觉异常的熟悉,但是又忘了这个函数的作用,但也不排除这些函数是真的很少用。strcpy函数:C 库函数 char *strcpy(char *dest, const char *src) 把 src 所指向的字符串复制到 dest。需要注意的是如果目标数组 dest 不够大,而源字符串的长度又太长,可能会造成缓冲溢出的情况。大致意思就是把src的内容复制到dest
2021-04-27 12:09:18
357
原创 buuctf [GWCTF 2019]pyre 1 wp
下载好文件一看是个pyc文件,找个python的在线解密在线解密python的网址:https://tool.lu/pyc/#!/usr/bin/env python# visit http://tool.lu/pyc/ for more informationprint "Welcome to Re World!"print "Your input1 is your flag~"l = len(input1)#输入字符串的长度for i in range(l):#遍历字符串 num
2021-03-24 21:19:30
1025
原创 buuctf [BJDCTF2020]JustRE wp
首先看一下是个exe文件,拉进EXEInfoPE看一下是个32位exe文件无壳,打开看一下,果然是个恶趣味的出题人怎么个恶趣味法,自己点点就知道,大致猜测一波flag估计与这有关然后拉近IDAx86看一下,看见winmain进去看一下伪代码,实在没有找到有用的线索int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ int result; /
2021-03-24 15:21:26
481
原创 buuctf luck_guy wp
首先将文件拉进EXEInfoPE看一下一看是64位文件,就拉进IDAx64看一下吧。一眼就到了main函数,这不得点进去看一下,然后F5转化一下伪代码int __cdecl main(int argc, const char **argv, const char **envp){ int result; // eax@1 __int64 v4; // rdx@1 int v5; // [sp+14h] [bp-Ch]@1 __int64 v6; // [sp+18h] [bp-8h]@
2021-03-23 20:07:03
391
原创 buuctf 刮开有奖 wp
是个EXE文件首先打开看一下,只有一个带有刮开有奖的消息框,没有什么线索然后老套路拉进Exeinfo PE查看是32位的文件拉进IDApro x86 看到 WinMain 当然毫不犹豫的进去看一下,然后F5查看一下伪代码,看到了GetDlgItemTextA函数,发现它在DialogFunc中,我们用F5载入它看看,BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4){ const char *v4; // esi@
2021-03-22 13:59:19
1114
原创 IDA的快速组合键 总结
学习逆向的基本离不开IDApro,学习逆向已经半年了,不知道有没有人和之前的我一样对于IDA只知道用shift+f12,和f5弄成C语言伪代码,着实有点丢人,今天特意总结一下IDA的快捷键,不仔细研究一波IDA还真不知道IDA中有如此多的功能,IDA的快捷键的设计有一定的模式,因此我们可以加强快捷键的记忆,使逆向的速度更快,更加得心应手。下面简绍一部分定义数据类型的快捷键。使用这些快捷键的时候需要让焦点(光标)对应行上才能生效U(Undefine)键 :即取消一个地方已有的数据类型定义,此时会弹出确认
2021-03-19 17:49:20
1947
1
原创 手动脱壳(二)
手动脱壳(二) ESP与跨指令寻OEP法手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口点称为“”OEP”(Orig
2021-03-17 14:39:24
189
原创 手动脱壳(一)
手动脱壳手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口...
2021-03-16 21:53:27
686
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人