reverse ez_xor writeup

最新推荐文章于 2024-11-10 19:09:22 发布
最新推荐文章于 2024-11-10 19:09:22 发布
阅读量1k 收藏 2
点赞数 1
文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55675216/article/details/120982921
版权
本文详细介绍了如何使用IDA Pro分析一个64位EXE文件,通过查找字符串、反汇编并解读关键异或代码,指导读者使用Python脚本来解密旗面。过程涉及字符串搜索、代码解析和C语言转换,适合初学者了解逆向工程基本技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拿到ez_xor.exe附件直接丢进PE
在这里插入图片描述

可以看到是64位exe文件,丢进ida64
Shift+F12查看字符串(如果是笔记本电脑的话,F12自带热键,先按Fn,即Fn+Shift+F12)
在这里插入图片描述
一般在这里找有没有和flag相关的字符串,可以看到这里是有的,双击进入
在这里插入图片描述
找到该字符串,点击上图所示,进入main方法
会进入流程图界面,按空格进入文本界面
可以看到汇编代码了,按F5(同理如果是笔记本记得按Fn+F5)反汇编,转换成C语言
在这里插入图片描述
现在就可以分析代码了,这里的C语言可能数据类型之类的会和我们平时的有点不一样
比如说这里的v3=0i64,0i64表示int64_t类型的0,其实就基本上可以理解为0
这里代码可以看到关键异或代码while ( (char)(v3 ^ v5[v3]) == dword_403020[v3] )
在这里插入图片描述
在这里插入图片描述
可以看到该字符串每个字符对应的ASCII码(这里按R键即可看到对应的字符)
现在已知dword_403020和v3(v3就是0~31),逐个进行异或即可得到flag

写一个Python脚本

s=[0x35, 0x62, 0x37, 0x30, 0x33, 0x3D, 0x60, 0x63, 0x3F, 0x3D, 0x6C,0x69, 0x6D, 0x6F, 0x68, 0x6D, 0x72, 0x77, 0x20, 0x70, 0x76, 0x73,0x72, 0x2F, 0x2E, 0x21, 0x7E, 0x2B, 0x28, 0x25, 0x2C, 0x29]
flag=[0 for i in range(32)] #从给出的代码很容易看到flag是32位的
for i in range(32):
    flag[i]=i^s[i]
print(flag)

即可得出flag

2022网刃杯 个人向WP ICS/Reverse easyiec,freestyle,ez_algorithm writeup
hfv13的博客
04-25 467
ICS easyiec 虚假的签到题与真正的签到题.jpg 打开方式切到记事本 Ctrl+F 直接搜flag梭哈 REVERSE freestyle 简单逆向算法题 f5主函数 一个fun1一个fun2 先跟进fun1 输入一个值 经过处理后得到4400 atoi()这个函数百度了一下跟int()差不多 数学题 4 * (3 * int(s)/9-9 ) == 4400 得到s = 3327 记一下到fun2 提示里给到The code value is the smallest divisible 意
2021 SangFor(羊城杯)-Reverse(逆向) Ez_Android Write up
weixin_50166464的博客
09-18 1082
0x00 日常查壳? 安卓逆向,我用JADX 0x01 值得注意的文件 只有在这里文件里所注册的活动页 才会被手机用户观察 0x02 分析主函数 于是直接分析MainActivity 关于这些R.string.xxx都一般存储在 strings.xml存储字符串 然后现在简单分析一下: 1. 经过用户名和密码的检查 2. 密码有段加密然后 - 1的操作 比赛的时候是连vpn登陆 当时用到就是靠这个登陆 然后在资源文件里找 借鉴一下别人脚本 a = '
中职网络安全比赛逆向入门教程(3)//xor亦或
Ba1_Ma0的博客
06-04 1222
需要工具和题目的可以加我qq:3316735898,有什么不懂的也可以问我将题目拖入ida分析 看ida的汇编代码和代码块就能知道,这是一个关于xor亦或的逆向题 这里一直在for循环,这个代码块一直在对flag的字符串亦或,亦或的值是1 这里可以看到,程序将亦或后的值与我们输入的值做对比,然后正确的话就输出 错误的话则输出 之后无论是输入正确和错误,都去向了同一个代码块,然后退出程序,由此可知,这个亦或后的值就是flag 我们可以看看ida的伪代码,按下f5 和我之前分析的一样,我们只需要找到f
每日Reversexor
zh_cn1的博客
01-11 438
IDA F5 异或的题目,把global提取出来 global 即660A到4F的16进制值提取出来 编写脚本如下: s=[0x66,0x0A,0x6B,0x0C,0x77,0x26,0x4F,0x2E,0x40,0x11,0x78,0x0D,0x5A,0x3B,0x55,0x11,0x70,0x19,0x46,0x1F,0x76,0x22,0x4D,0x23,0x44,0x0E,0x67,0x06,0x68,0x0F,0x47,0x32,0x4F] flag = "f" for i in range(
buuctf_reverse_xor
小星星的博客
11-24 606
解压用ida打开第一个xor文件(因为第二个我打不开), 找到main函数 可见是对global字符串从第二位开始与前一位异或直到最后一位,找到global字符串并按步骤反过来就可以了, #include<stdio.h> int main(){ int ch[34]={0x66,0x0A,0x6B,0x0C,0x77,0x26,0x4F,0x2E,0x40,0x11,0x78,0x0D,0x5A,0x3B,0x55,0x11,0x70,0x19,0x46,0x1F,0x76,0x22,0
[LitCTF 2023]ez_XOR
2303_79610394的博客
12-12 948
[LitCTF 2023]ez_XOR
3DES.rar_3des tool_XOR
09-23
Can reverse bytes character According to a reverse xor encryption decryption tool do processing IS A TOOL
BUUCTF Reverse xor WriteUp
PlumpBoy的博客
09-10 629
xor-WP 首先吧xor文件扔进IDA里面 int __cdecl main(int argc, const char **argv, const char **envp) { int i; // [rsp+2Ch] [rbp-124h] char __b[264]; // [rsp+40h] [rbp-110h] BYREF memset(__b, 0, 0x100uLL); printf("Input your flag:\n"); get_line(__b, 256LL);
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
异或校验工具XOR.zip
11-19
异或校验测试小工具,主要是16进制字符串每个字节与上一次异或结果再异或,获取到最终的校验码。方便大家快速获取到异或校验码,附件包含了.exe工具和所有的源代码。
异或加解密工具
07-17
异或加解密工具
xor加密.exe
02-17
xor加密.exe
LitCTF ez_XOR
tlp_zzm的博客
04-02 386
由于IDA识别的原因,本来的一个for函数被识别为了一个for函数和一个if函数,无伤大雅,可以看出是先判断字符串长度是否超出范围,然后把每一位都 ^ 3 * a2,而a2可以从主函数看出来是一个定值3,也就是 ^ 9。找到了两个字符串,可能后面会用到。查壳,无壳,32位,用对应的IDA打开,找到主函数如图。分析函数可得,密文为str2字符串,且只有XOR函数一个加密步骤,分析该函数。首先发现是个exe程序,可以直接cmd运行一下查看。
NSSCTF [LitCTF 2023]ez_XOR
最新发布
c7777127_的博客
11-10 367
咱先进入主函数 然后f5反编译,可以看出是xor异或 追踪xor函数。可以看出这是一个xor对str1进行异或 参数是3。
LitCTF2023-部分Reserve复现
m0_73393932的博客
05-22 1211
不同的python版本对应不同的magic, 时间戳是这个文件处理的时间信息,其中magic影响文件的反编译,如果pyc文件缺失magic或者magic损坏,就可能出现无法反编译情况。是换表没错了, 每次将v3的值作为下标在base64表中查找,查找到的值赋给base64密码表,重复64次,可以写一个脚本,解出新的base64密码表。可以看到程序先输入一串数据,然后在function函数中进行加密,加密后的数据与v6~v14进行比较,相等则输出,恭喜答对了,否则输出 不对哦。这种异常可能是除0错误。
NSSCTF逆向刷题记录
fivesheeptree的博客
07-08 521
在线反编译处理code中的长度,将其与索引值i相加得到一个新的值。对新的值取模 128,即,将结果限定在 0 到 127 的范围内。将结果再加上 128 取模 128,即,这一步相当于循环左移了 128 个单位。前一个字符与后一个异或,长度是0到l-1,也就是说最后一位没有加密,故从l-2开始异或,根据异或时A^A=0可得从后面开始异或能得到原来的数据。
windows下使用xortools
weixin_30725467的博客
06-14 1334
xortool是一个多字节异或加密破解工具。作者只是适配了linux版,在Windows下使用会导致保存文件错误,因为Windows会把\n转成\r\n,加密和解密都乱了。而且命令还和readme不一致。 我做了稍许的修改,修复了这两个问题,并且不用安装,就可以在win下使用。 1. 在github下载https://github.com/raddyfiy/xortool-for-Window...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心星人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值