两个入门级的脱壳的CTF题目,记录一下。
一、逆向脱壳入门题目
1.nSpack壳
先用IDA打开看看:
可以看到有壳,而且解析出来的函数很少,对脱壳后的文件如下:
可以看到多出了很多函数。
用ESP定律进行脱壳,OD打开软件后如图:
可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ESP处下硬件断点如图:
可以看到 popfd,并且紧接着进行一次远跳,F8跟进。
基本1336就是OEP了,此处有两种脱壳方法,第一种用PETOOL进行DUMP,第二种直接用OD进行脱壳,本文使用OD进行脱壳。1336处右键分析->从目标出删除模块扫描后,如图:
1336为程序的入口点,F7跟进:
接下来就到了熟悉的地方,直接使用ODDump脱壳:
脱壳后使用IDA进行算法逆向破解即可。
2.Reversing.kr的esay unpack
有耐心的一点一点F8。
发现一个远跳,F8跟进,分析->删除模块等操作在分析算法,1150即为OEP。
二、 上述使用的单步跟踪法
1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;
2、向下单步跟踪,实现向下的跳转;
3、遇到程序往上跳转的时候(包括循环),在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令;
4、OD中的绿色线条表示跳转没有实理,不必理会,红色线条表示跳转已经实现;
5、如果刚载入程序的时候,在附近有一个CALL指令,那么就要按键盘上的“F7”键跟进这个CALL内,不然程序很容易运行起来;
6、在跟踪的时候,如果执行某个CALL指令后就运行,一定要按键盘上的“F7”键进入这个CALL之内再单步跟踪;
7、遇到在popad指令下的远转移指令时,要格处注意,因为这个远转移指令的目的地很可能就是OEP。