- 博客(7)
- 收藏
- 关注
RSS订阅原创 ISCTF2025-病毒分析
LNK文件 → msiexec执行 → MSI+MST静默安装 → 释放payload.dll→ 执行Utils() → 释放PDF诱饵 + zRCAppCore.dll + zRC.dat→ Zoom组件加载zRCAppCore.dll → XOR解密zRC.dat → 进程空洞化注入dllhost.exe→ 解密PE执行 → 反虚拟机检测 → 回连SharePoint域名 → 获取C2配置→ 连接真实C2 (47.252.28.78:37204) → 发送"get_cmd" → 获取flag。
2025-12-13 23:34:39
899
原创 ISCTF2025-Reverse
因为 Str[11] / Str[19] 是 char,正常没有溢出的话就等价于乘 64。<< 6 是「左移 6 位」,也就是乘以 2^6 = 64(只要没有溢出)python写的话, 直接把位移改写成“线性乘法”
2025-12-10 16:51:55
431
1
原创 浙江省第七届网络与信息安全决赛Reverse+信创
要一直解压.app文件,道理跟一直解压.apk文件一样,都是打包压缩好的安装包文件。-> 后16字节 -> encryptY处理(使用encryptX的结果作为IV)总结:输入(32字节) -> 前16字节 -> encryptX处理。我nop掉了,且跳转成after_main没用啊[功力不够再说吧]java环境最好17不然windows有问题啊。-> 结果合并 -> Base64编码。然后linux动调,发现有反调试啊。简简单单base64换表。
2025-11-21 08:20:25
366
原创 浙江省第七届网络与信息安全预赛Reverse
前面有一个函数,像是在按密钥的长度决定加密的轮数,再看加密函数的参数,像极了一个AES加密,且有两个常量’5855eab53a2275d3’和’b051a57d6d05b393’,推测一个是密钥一个是IV,buf2:526c49d2871264ba984d2038139398c6e148c7ebf445a67f5a7f617fce72。nop完后发现还有问题,在下面的代码中按c试探一下,发现从第二个字节码开始就可以恢复为正常函数,所以还要一个垃圾指令,nop掉后即可看到主函数逻辑。ps:学习了这位师傅的。
2025-11-12 23:04:05
944
原创 NSSCTF2025秋季招新赛
如果进入调试失败,用终端打开,然后ida调试选Attach to process..v6 = sub_14001143D(v5);12个密文元素 ÷ 2组 × 8字节/组 = 48字节,偶数字节,选else算法。发现主逻辑这个反调试有一个神秘函数sub_140011285()然后就是动调通过hook strcpy函数 会更改tea的key。那个根据这个函数交叉引用(Jump to xref按x键)将相关exit nop即可。
2025-11-10 21:53:12
914
原创 浙江省第八届网络与信息安全预赛Reverse
一坨,所以还是选择反调试吧if ( IsDebuggerPresent() ) _loaddll(0);64 位程序中常用,由 2 个 DWord 组成。x32dbg调试,F9,F8,随便输入,来到断点。最小存储单位,对应 ASCII 字符(如。所以提取Buf1用_WORD类型。,表示处于调试状态)。由 2 个字节组成,x86 架构中按。(低字节在前,高字节在后),如。由 2 个 Word 组成,如。是 32 位,高 16 位为。跟进sub_401000()(因为函数返回值存储在。【在 x32dbg 的。
2025-11-09 01:03:12
1128
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人