reverse 3

已于 2023-01-28 22:17:16 修改
阅读量318 收藏 1
点赞数 2
文章标签: 学习
于 2023-01-25 16:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73505302/article/details/128749664
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一.PE文件学习

  • PE文件是目前Windows平台上的主流的可执行文件格式
  • winnt.h是PE文件定义的最终决定者
    在这里插入图片描述
    在这里插入图片描述

1. PE基本概念

  • PE文件种类:

    可执行系列:EXE、SCR
    驱动程序系列:SYS、VXD
    库系列:DLL、OCX、CPL、DRV
    对象文件系列:OBJ(本身不能以任何形式执行)

  • 基本结构:PE头部分(DOS头+节区头)+PE体(其下的节区)

  • PE文件有一个共同特点:前两个字节为4D 5A(MZ)

  • 文件中使用偏移,内存中使用VA来表示位置。文件加载到内存时,节区的大小、位置等就会发生变化。文件的内容一般可分为代码、数据、资源节,分别保存。

  • 各节区头定义了各节区在文件或内存中的大小、位置、属性等。 PE头与各节区的尾部存在一个区域,成为NULL填充

1.1 基地址

  • 当PE文件通过windows加载器载入内存后,内存中的版本称为模块,映射文件的起始地址为模块句柄,可以通过模块句柄访问内存中的其他数据结构,也成为基地址
    在这里插入图片描述

1.2 虚拟地址与相对虚拟地址

  • PE文件被系统加载器映射到内存中,每个程序的虚拟空间的内存地址称为虚拟地址
  • RVA是内存中一个简单的,相对于PE文件载入地址(基地址)的偏移位置,是偏移量
  • 虚拟地址(VA)=基地址(ImageBase)+相对虚拟地址(RVA)
  • 文件偏移地址:PE文件储存在磁盘中,某个数据的位置相对于文件头的偏移量称为文件偏移地址或物理地址。
  • PE头内部信息大多以RVA形式存在

2. MS–DOS头部

  • 每个PE文件都是以一个DOS程序开始的,将DOS MZ头(64字节)与DOS stub(可选项,大小不固定)合称为DOS 文件头
  • e_magic字段:一个字大小,值被设置为5A4Dh,这个值有一个#define,是IMAGE_DOS_SIGNATURE,在ASC码中是MZ
  • e_lfanew字段:真正的PE文件头的相对偏移(RVA),占用4字节,在3Ch字节处

3. PE文件头(NT头)

  • 即指PE相关结构NT映像头,IMAGE_NT_HEADER
  • pe装载器从DOS头的结构体中的e_lfanew字段中找到PE HEADER的起始偏移量,加上基址,得到PE文件头的指针
    在这里插入图片描述

3.1 signature字段

  • 该字段被设置为0x00004550,ASC码字符是PE00,#define IMAGE_NT_SIGNATURE 0X00004550
  • PE00是PE文件头的开始,同时也是e_lfanew字段的指向

3.2 IMAGE_FILE_HEADER结构

  • 即指映像文件头,包含PE文件的基本信息,指出了IMAGE_OPTIONAL_HEADER的大小
    在这里插入图片描述
    在这里插入图片描述

1.Machine:可执行文件的目标CPU类型,不同机器不同

  • NumberOfSections:区块的数目,块表紧跟在IMAGE_NT_HEADERS后面
    3.SizeOfOptionalHeader::指出IMAGE_OPTIONAL_HEADER结构体的长度
    4.文件属性:标识文件的属性 0002H exe 2000H dll

3.3 IMAGE_OPTIONAL_HEADER结构

  • 该可选映像头中定义了更多的数据,PE头结构体中最大的
  • magic 10B (32) 20B(64)
  • AddressOfEntryPoint : EP的RVA值,指出程序最先执行的代码起始地址
  • ImageBase : 指出文件的优先装入地址
  • SectionAlignment:指定节区在内存中的最小单位
  • FileAlignment: 指定了节区在磁盘文件中的最小单位
  • 磁盘文件或内存的节区大小必定为上述两值的整数倍
    在这里插入图片描述
  • DataDirectory:结构体数组,每项都有被定义的值,[0]—EXPORT Directory [1]—IMPORT Directory [2]—RESOURCE Directory [9]—TLS Directory

3.4节区头

  • PE文件格式把具有相似属性的数据统一保存在一个被称为“节区”的地方,然后需要把各节区的属性记录在节区头中。
  • 节区头是由IMAGE_SECTION_HEADER结构体组成的数组,每个结构体对应一个节区

在这里插入图片描述

  • 关于name字段,name中可以填任何值,且可以填充NUll值

3.5 RVA to RAW

  • PE文件加载到内存时,每个节区都要准确完成内存地址与文件偏移间的映射
  • RAW(文件偏移)计算公式:
    在这里插入图片描述

4.PE头核心部分----IAT—导入地址表

IAT保存的内容与windows操作系统的核心进程,内存,DLL结构有关

4.1 DLL–动态链接库

  • 加载DLL的方式:

    显式链接:程序使用DLL时加载,使用完毕后释放内存
隐式链接:程序开始时即一同加载DLL,程序终止时再释放占用的内存

4.2 IMAGE_IMPORT_DESCRIPTOR

在这里插入图片描述
在这里插入图片描述

  • 执行一个普通程序时往往需要导入多个库,导入多少库就存在多少个IMAGE_IMPORT_DESCRIPTOR结构体,这些结构体形成了数组,且结构体数组最后以NULL结构体结束

  • INT与IAT是长整型数组,以NULL结束,INT与IAT的大小相同

  • INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针

5.EAT—导出地址表

  • EAT是一种核心机制,使不同的应用程序可以调用库文件中提供的函数,只有通过EAT才能准确求从相应库中导出函数的起始地址
    在这里插入图片描述
    在这里插入图片描述

二. IDA学习

1. 交叉引用

1.1 代码交叉引用

  • 代码交叉引用可帮助 IDA 生成控制流图形和函数调用图形

  • 后面的地址(这里为_main+2A)是交叉引用的源头地址

  • 地址后面总是有一个上行或下行箭头,表示引用位置的相对方向。下行箭头表示_main+2A 的地址比 sub_401000 要高,因此,你需要向下滚动才能到达该地址。

  • 代码交叉引用用于表示一条指令将控制权转交给另一条指令

  • ***普通流(ordinary flow)***是一种最简单的流,它表示由一条指令到另一条指令的顺序流。这是所有非分支指令(如 ADD)的默认执行流

  • call 指令,它分配到一个调用流(call flow),表示控制权被转交给目标函数。多数情况下,call 指令也分配到一个普通流,因为大多数函数会返回到 call之后的位置。如果 IDA 认为某个函数并不返回(在分析阶段确定),那么,在调用该函数时,它就不会为该函数分配普通流。调用流通过在目标函数(流的目的地址)处显示交叉引用来表示。

  • 除非调用地址有相应的名称,否则,交叉引用中的地址会以调用函数中的偏移量表示

  • 每个无条件分支指令和条件分支指令将分配到一个跳转流(jump flow)。条件分支还分配到普通流,以在不进入分支时对流进行控制。无条件分支并没有相关的普通流,因为它总会进入分支。

  • 虚线表示相邻的两条指令之间并不存在普通流

  • 跳转交叉引用使用后缀 j,函数调用导致的交叉引用使用后缀 p

Tanggerr
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
buuctf-逆向-reverse3
m0_52343643的博客
04-21 2910
题目 BUUCTF在线评测 reverse3 思路 Exeinfo PE查看程序为32位,无壳 打开IDA ,找到有main_0函数,F5得C伪码,分析如何得到 right flag! 查看Str2的内容为 e3nifIH9b_C@n@dH 知道了Str2,也知道Dest经过变化的代码,我们可以写脚本得到原来变化前的Dest,但是变化前的Dest从v4来,得到v4的sub_4110BE有什么作用我们不清楚,就动态调试看看 字符串查找到程序输入入口,F2下断点,运行输入.
reverse3题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-29 608
buuctf-reverse3题解
reverse3
since_2020的博客
04-18 220
base64加密逆向
【BUUCTF】REVERSE------reverse_3
BangSen1的博客
01-16 332
reverse_3 例行检查,无壳,32bit 用IDA打开,看到了right flag,跟进瞧瞧 来到函数界面,大体可以分为三个处理部分 在输入后进行sub_4110BE函数运算, 这个函数的功能是Base64加密 这里又将每一个元素加上对应数值 ...
攻防世界Reverse(3)
njh18790816639的博客
01-12 1184
gametime 看题目描述是个游戏时间,应该有关游戏的,下载是个exe文件,运行起来有点看不懂,那我们先记录下来里面的一些字符,等反编译时去针对性的查看。 这里的文件查看是没有得到什么信息的,那我们就用ida打开它去看看里面到底是些什么: (伪代码有点长,我们就一段一段的来分析) 而下面这个函数sub_4012D5(0xC8u)则是它输入的下面的一串字符。 代码有点长,不过此时我们其实就应该可以想到这道题可能用到了动态调试了,不过我们还是要找到我们所需的代码处。后来也看不下了,实在有点多,不过下面的k
BUUCTF-Reversereverse3
_Co1a
11-22 622
题目地址:https://buuoj.cn/challenges#reverse3 IDA打开 下载文件,无壳,直接使用ida(32)打开,找到主函数: 打开main 0 函数: __int64 main_0() { size_t v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; // [esp+DCh] [ebp-ACh]
Scroll Reverse
12-09
标题“Scroll Reverse”所指的是一个针对MacOS操作系统的应用程序,它的主要功能是解决用户在使用鼠标滚轮或触控板滚动时感到不便的问题。在MacOS系统中,默认情况下,滚轮向上滚动会向下移动页面,这与许多Windows...
C++ reverse介绍及使用
10-09
在C++编程语言中,`std::reverse`函数是一个非常实用的工具,它允许程序员轻松地反转各种序列,包括字符串和数组。这个函数是C++标准库中的成员,位于`<algorithm>`头文件中。本篇文章将深入探讨`std::reverse`函数...
dwr3ReverseAjax示例
11-20
在这个“dwr3ReverseAjax示例”中,我们将深入探讨如何利用DWR 3.x版本来构建一个基于Ajax的简单Web聊天应用。 首先,DWR的核心功能是通过HTTP协议实现在客户端JavaScript和服务器端Java之间的远程方法调用(Remote...
什么是reverse常见的reverse有哪些
最新发布
05-19
reverse
reverse case
10-25
在IT行业中,"reverse case"通常指的是反转某种情况或状态,比如在编程中可能涉及到字符串的大小写反转。在这个特定的上下文中,我们讨论的是一个名为"reverse+case.zip"的压缩包,它包含了实现“卡片翻转特效”的...
reverse()函数-- -123变成-321
weixin_51475495的博客
11-09 2008
reverse( )函数-- -123变成-321
BUU-逆向1-8
Re1_zf的博客
01-31 477
题目一览 1、easyre 1 2、reverse1 1 3、reverse2 1 4、内涵的软件 1 5、新年快乐 1 6、xor 1 7、helloword 1 8、reverse3 1
BUUCTF 逆向工程(reverse)之reverse3
weixin_44632787的博客
08-22 1980
用的IDA打开,然后进入的主函数_main_0 __int64 __cdecl main_0() { int v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; // [esp+DCh] [ebp-ACh] signed int i; // [esp+E8h] [ebp-A0h] signed int v8; // [esp
每日Reversereverse 3
zh_cn1的博客
01-17 454
拖到ida,一键F5 main函数,然后跟入main数中,最终来到如下函数, 函数大概意思就是读入flag,然后flag经过一个函数转化,再通过for循环再做一次变化,最终变化的字符等于str2 那么str2如下: 那么先for循环到原来的字符 import base64 st = "e3nifIH9b_C@n@dH" st1 = "" for i in range(0,len(st)): st1 += chr(ord(st[i])-i) print(st1) 此时离flag还差一个函数,进去查看,
[BUUCTF]REVERSE解题记录 reverse3
weixin_44192213的博客
02-26 214
1.查壳 32位 2.放入ida 找到代码 3.可以看到中间进行了sub_4110BE运算,再找到数字 可以看出是base64位加密 4.编写脚本,可以看到结果: 所以结果为:b'{i_l0ve_you}'
BUUCTF Reverse reverse3
A_dmin的博客
07-21 5040
BUUCTF Reverse reverse3 一天一道CTF题目,能多不能少 下载文件,无壳,直接使用ida(32)打开,找到主函数: 看上去简单易懂,输入一个字符串然后经过sub_4110BE函数进行加密 然后再通过一个for循环进行变换,然后与str进行比较 直接查看Str2的字符串: 可以~继续查看加密的函数: while ( v11 > 0 ) { byte_41A...
BUUCTF_reverse_3
weixin_46009088的博客
10-16 1388
** BUUCTF_reverse_3 ** 用IDA载入,寻找_main函数 点击main_0跟进,来到主函数,如下(重要的语句已经做好了标记): 接下来先查看一下Str2这个字符串是啥,点进去,如图: 然后再看看sub_4110BE函数是啥,如图: 再跟进sub_411AB0函数,如下(太长了…): void *__cdecl sub_411AB0(char *a1, unsigned int a2, int *a3) { int v4; // STE0_4 int v5; // STE
BUUCTF reversereverse3
qq_43786458的博客
10-08 788
1.查壳 无壳,32位程序 2.IDA分析 拖入IDA,找到main函数,F5反编译 __int64 main_0() { size_t v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; // [esp+DCh] [e...
reverse_copy
02-21
reverse_copy是C++标准库中的一个算法函数,用于将一个容器中的元素以相反的顺序复制到另一个容器中。它的函数原型如下: ```cpp template<class BidirIt, class OutputIt> OutputIt reverse_copy(BidirIt first, BidirIt last, OutputIt d_first); ``` 其中,`BidirIt`是一个双向迭代器类型,表示输入范围的起始和结束位置;`OutputIt`是一个输出迭代器类型,表示输出范围的起始位置。函数会将输入范围 `[first, last)` 中的元素以相反的顺序复制到输出范围 `[d_first, d_first + (last - first))` 中。 下面是一个使用reverse_copy函数的示例: ```cpp #include <iostream> #include <vector> #include <algorithm> int main() { std::vector<int> nums = {1, 2, 3, 4, 5}; std::vector<int> reversed_nums(nums.size()); std::reverse_copy(nums.begin(), nums.end(), reversed_nums.begin()); for (const auto& num : reversed_nums) { std::cout << num << " "; } std::cout << std::endl; return 0; } ``` 输出结果为:5 4 3 2 1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值