- 博客(15)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 CTF逆向基础----花指令总结
什么是花指令?花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的和不会被执行的。不会被执行的花指令花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
2021-03-13 18:55:21
9718
原创 SCTF2020 Reverse----get_up
题目下载地址:链接:https://pan.baidu.com/s/1ZMLB0lk1uh0PoD_vZiYCiw提取码:o9k8拿到题目先看下main函数调用了两个函数,第二个函数没有被IDA正常识别,可能存在SMC先看下sub_402700的伪代码要求输入一个长度不超过6的字符串,还要满足sub_401DF0的校验取到.reioc段的地址,然后进行SMC解密,解密函数为sub_402610,解密操作是异或,不过不需要关心,动态调试下就好这里待解决的是sub_401DF0函数,进入看下.
2021-02-04 13:21:22
636
5
原创 HWS2021 Reverse----Enigma
华为2021硬件安全冬令营线上赛-re题题目下载地址:链接:https://pan.baidu.com/s/1YPJM2uOhbCkWM1KepBskfQ 提取码:8k0b本人比较菜,尽量详细的写出分析过程,如有错误,恳请指正!题目是一个windows的32位exe,主要考点是异常处理和虚拟机拖入IDA进行分析可以直接识别出main函数那么就直接F5吧这个题并没有用控制台的方式输出,输入输出都是采用文件的形式,那么先来看一下enc文件中放的是什么一串长度为64的十六进制字符,通过观察m.
2021-02-02 23:13:39
553
原创 Docker学习(三)数据卷
数据卷数据卷是一个可以供一个或多个容器使用的特殊目录。它将宿主机的目录直接映射进容器,并且有以下特点:1.数据卷 可以在容器之间共享和重用2.对数据卷的修改会立马生效3.对数据卷的更新,不会影响镜像4.数据卷 默认会一直存在,即使容器被删除#1. 创建数据卷docker volume create 数据卷名称#创建之后,默认会存放目录:#/var/lib/docker/volumes/数据卷名称/_data#2. 查看数据卷信息docker volume inspect 数据卷名.
2020-12-11 15:04:42
193
原创 Docker学习(二)容器操作
#1. 运行容器#如果本地存在该镜像则会直接运行#若本地不存在则会在远程仓库下载后运行docker run 镜像标识ordocker run 镜像名称[:tag]#常用参数docker run -d -p 宿主机端口:容器端口 --name 容器名字 镜像标识(or 镜像名称[:tag])#-d 容器后台运行#-p 宿主机端口:容器端 将操作系统端口映射到容器端口#2. 查看容器docker ps -a -q#ps 默认查看正在运行的容器#-a 查看所有容器#-q 只查看容器
2020-12-11 15:04:06
110
原创 Docker学习(一)镜像操作
docker仓库网址:http://hub.daocloud.io/#1.拉取镜像到本地docker pull 镜像名称[:tag]例如:docker pull daocloud.io/library/tomcat:9.0.0.M26-jre8#2. 查看本地已有镜像docker images#3. 停止/删除本地镜像docker stop 镜像标识#删除(删除前必须先停止镜像)docker rmi 镜像标识#4. 导入导出本地镜像#导出镜像:docker save -
2020-12-11 15:03:18
116
原创 windows PE文件格式笔记(二)RVAToFOV
什么是RVA,FOVRVA是相对虚拟地址,FOV是文件偏移由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA.在PE格式中查看对齐粒度PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment他们在PE扩展头中可以找到,PE扩展头的结构体:typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
2020-12-11 15:00:59
793
原创 极客大挑战-刘壮的BaseXX(魔改base64分析)
题目介绍题目分析看看到题目介绍,首先想到这可能是一道base64相关的题,先下载题目打开康康常规输入,该程序为64为程序,直接拖到IDA64进行分析。找不到main函数那就搜索字符串,然后交叉引用到关键代码段。发现字符串附近有其他可疑字符串,疑似修改的base64的对应表。先不管,到关键代码处直接F5,简单重命名了下puts、read还有len,未知的差不多还有sub_140001420、 sub_1400010E0、sub_140001490sub_140001420:这里
2020-11-05 01:28:32
1202
原创 windows PE文件格式笔记(一)
PE简介PE(Portable Executable)文件是windows操作系统下的可执行文件格式,使用该格式的后缀有.exe,.dll,.sys,.obj等。PE文件是指32为的可执行文件,也称PE32,64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式。PE文件基本结构PE文件分为DOS头、DOS块、NT头(包括PE头和PE扩展头)、节区头、节区、PE体。DOS头&DOS块DOS头结构体():typedef struct _IMAGE_DOS_HEADER
2020-10-24 15:37:44
946
原创 关于Switch...case语句在汇编中的形式的探究
正向代码:void main(){ int a, b; a = 0; b = 0; switch (a+b) { case 1: { printf("11"); break; } default: break; }对应的汇编代码: int a, b; a = 0;00BC1838 mov dword ptr [a],0 b = 0;00BC183F mov dword ptr [b],0 switch (a+b)
2020-07-10 23:37:40
1061
原创 CTF pwn环境搭建
供个人查阅使用安装pipapt-get install python-pip python-dev build-essentialpip换源cd ~mkdir -m 771 .pipcd .pipvim pip.conf[global]index-url = https://pypi.tuna.tsinghua.edu.cn/simple这里更换的是清华源也可以更换其他的 阿里云 https://mirrors.aliyun.com/pypi/simple/ 中国科技大学 ht
2020-06-07 00:19:45
1036
原创 记录一次学校CTF平台的Re题(Linux elf64脱UPX壳)
0X0:脱UPX壳题目下载后发现是ELF64的程序,拖入IDA分析只解析出四个函数,估计是加壳了,shift+F12查看字符串窗口发现是UPX壳,在windows下的UPX一般使用esp定律实现脱壳,linux的还是第一次遇到,将题目放到虚拟机中在本机用IDA远程调试,F8后程序直接跑飞,那么就用F7进入这个call,然后F8运行过图中的这个CALL后继续跑飞,重新加载文件F7进入这个call一直F8后来到这个call也需要F7进入,进入后发现有三个向上的跳转,这时可以在第三个跳转的下
2020-06-06 21:04:32
1873
1
原创 kali linux操作记录(kali版本为2020.1)
linux换源1.在终端输入vim /etc/apt/sources.list2.按i进入编辑模式,用#注释掉官方源,或者直接删去。3.填入需要更改的源,一下选其一即可。#阿里云deb http://mirrors.aliyun.com/kali kali-rolling main non-free contribdeb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib#中科大deb http://m
2020-06-06 20:04:52
1436
原创 2018网鼎杯Give_a_try WP
0x0记录一次某Crackme的分析过程,大致分为算法和反调试两部分。0x1[测试环境]win10 64[使用工具]Ollydbg丶IDA0x2 算法部分应该是将反调试部分写在前面的,但是由于这个CM的算法部分相对与反调试部分的意义较小,所以先写在前面,重点写在后面。以下都是在过了反调试的情况下的分析。将程序拖入IDA后 shift+F12打开字符串窗口可以看到作者给我们的提示pizza:0040210A 0000001D C The flag begins with “fla
2020-06-05 22:02:38
773
原创 调用门学习
构造调用门根据上图我们可以看到调用门段描述符的结构,没有base和limit,变成了偏移地址和代码段的段选择子,根据代码段的段选择子可以查GDT表得到代码段的base,加上偏移就得到了需要被调用的地址。此时type的值为c表示32位的调用门,param Count为参数个数,P位是存在位,为1时有效。DPL表示调用门的特权级,用于指定通过调用门访问特定过程所要求的特权级接下来编写测试代...
2020-03-02 19:59:05
329
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人