逆向
文章平均质量分 61
Re~Fw
ctf reverser
展开
-
C语言函数
这篇文章只是记录一下我经常忘记的C语言函数,让我呢个对这些函数加深一遍印象,可能还是用的少,有时候就是在IDA里看着那些C语言伪代码,总是感觉异常的熟悉,但是又忘了这个函数的作用,但也不排除这些函数是真的很少用。strcpy函数:C 库函数 char *strcpy(char *dest, const char *src) 把 src 所指向的字符串复制到 dest。需要注意的是如果目标数组 dest 不够大,而源字符串的长度又太长,可能会造成缓冲溢出的情况。大致意思就是把src的内容复制到dest原创 2021-04-27 12:09:18 · 356 阅读 · 0 评论 -
buuctf [GWCTF 2019]pyre 1 wp
下载好文件一看是个pyc文件,找个python的在线解密在线解密python的网址:https://tool.lu/pyc/#!/usr/bin/env python# visit http://tool.lu/pyc/ for more informationprint "Welcome to Re World!"print "Your input1 is your flag~"l = len(input1)#输入字符串的长度for i in range(l):#遍历字符串 num原创 2021-03-24 21:19:30 · 1012 阅读 · 0 评论 -
buuctf [BJDCTF2020]JustRE wp
首先看一下是个exe文件,拉进EXEInfoPE看一下是个32位exe文件无壳,打开看一下,果然是个恶趣味的出题人怎么个恶趣味法,自己点点就知道,大致猜测一波flag估计与这有关然后拉近IDAx86看一下,看见winmain进去看一下伪代码,实在没有找到有用的线索int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ int result; /原创 2021-03-24 15:21:26 · 477 阅读 · 0 评论 -
buuctf luck_guy wp
首先将文件拉进EXEInfoPE看一下一看是64位文件,就拉进IDAx64看一下吧。一眼就到了main函数,这不得点进去看一下,然后F5转化一下伪代码int __cdecl main(int argc, const char **argv, const char **envp){ int result; // eax@1 __int64 v4; // rdx@1 int v5; // [sp+14h] [bp-Ch]@1 __int64 v6; // [sp+18h] [bp-8h]@原创 2021-03-23 20:07:03 · 387 阅读 · 0 评论 -
buuctf 刮开有奖 wp
是个EXE文件首先打开看一下,只有一个带有刮开有奖的消息框,没有什么线索然后老套路拉进Exeinfo PE查看是32位的文件拉进IDApro x86 看到 WinMain 当然毫不犹豫的进去看一下,然后F5查看一下伪代码,看到了GetDlgItemTextA函数,发现它在DialogFunc中,我们用F5载入它看看,BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4){ const char *v4; // esi@原创 2021-03-22 13:59:19 · 1112 阅读 · 0 评论 -
IDA的快速组合键 总结
学习逆向的基本离不开IDApro,学习逆向已经半年了,不知道有没有人和之前的我一样对于IDA只知道用shift+f12,和f5弄成C语言伪代码,着实有点丢人,今天特意总结一下IDA的快捷键,不仔细研究一波IDA还真不知道IDA中有如此多的功能,IDA的快捷键的设计有一定的模式,因此我们可以加强快捷键的记忆,使逆向的速度更快,更加得心应手。下面简绍一部分定义数据类型的快捷键。使用这些快捷键的时候需要让焦点(光标)对应行上才能生效U(Undefine)键 :即取消一个地方已有的数据类型定义,此时会弹出确认原创 2021-03-19 17:49:20 · 1895 阅读 · 1 评论 -
手动脱壳(二)
手动脱壳(二) ESP与跨指令寻OEP法手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口点称为“”OEP”(Orig原创 2021-03-17 14:39:24 · 186 阅读 · 0 评论 -
手动脱壳(一)
手动脱壳手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口...原创 2021-03-16 21:53:27 · 673 阅读 · 0 评论