虚拟机(vm)逆向(二)

最新推荐文章于 2024-05-22 13:48:42 发布
最新推荐文章于 2024-05-22 13:48:42 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 逆向与保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/105968462
版权

虚拟机简单结构
使用while和switch构成的虚拟机

hagem-week4-easyvm

工具

IDA+虚拟机逆向

思路展开

通过查找字符串,找到关键函数,关键函数整体逻辑简单,取输入的字符串,然后定义一个大数组,输入和大数组经过函数运算后,与一个已知字符串比较
关键聚集到函数上。
已知字符串可用idc脚本导出

auto addr=0x140004000;
auto x,i;

for(i=0;i<48;i++){
	x=byte(addr);
	Message("%x,",x);
	addr=addr+1;
}
//3a,54,2f,2a,2f,36,13,1,2e,3,35,40,47,e,5f,59,1,69,27,8,3d,4c,33,1a,2d,b,40,e,4b,24,41,27,25,28,29,2a,2,2,5d,24,0,0,0,0,0,0,0,0,

函数(我把名字改成了vm)
是一个经典的使用while和switch构成的虚拟机的样子
sub_140001000定义一个栈的结构
定义栈的结构
while()里的参数是定义的大数组,switch()是遍历数组里的每个值。
sub_140001000函数里还有两个函数,涉及到栈的操作(自己菜,看不懂),选择动调解决。
输入字符,下断点,看输出字符与输入字符的关系(看汇编推测验证,通常是异或),本题调试前也盲猜异或。
x64dbg 动态调试
输入一串a
1
在函数下断点2
点进去函数,里面果真是异或(原因:1.汇编命令里看到xor 2.这次输一串a下一次书一串b,发现结果都是与某个固定值异或)
现在就是拿到和那些个值异或,我采用 ida+windbg本地调试exe,然后用idc脚本取出输出结果(一开始输入40个a),接着和a异或,得到需要异或的值

windbg注意点:1.ida7.0自带windbg调试 2.被调试程序的路径不能有中文

//idc脚本取输出
auto addr=0x1cf6e0; //函数处理后的位置
auto x,i;

for(i=0;i<48;i++){
	x=byte(addr);
	Message("0x%x,",x);
	addr=addr+1;
}
//输入一串'a'时
//输出 0x33,0x52,0x2f,0x26,0x2b,0x2c,0x6,0x8,0x26,0x11,0xb,0x57,0x4b,0x30,0x57,0x4b,0x3f,0x57,0x35,0x6,0x2f,0x42,0x21,0x14,0x3f,0x5,0x52,0x0,0x59,0x2a,0x53,0x29,0x37,0x26,0x17,0x2e,0x2,0x10,0x45,0x38,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,

输出的值再和‘a’异或,得到要异或的值
下面直接给出最终脚本:

cipher = [58, 84, 47, 42, 47, 54, 19, 1, 46, 3,
 53, 64, 71, 14, 95, 89, 1, 105, 39, 8,
  61, 76, 51, 26, 45, 11, 64, 14, 75, 36, 
  65, 39, 37, 40, 41, 42, 2, 2, 93, 36]
xor = [82, 51, 78, 71, 74, 77, 103, 105, 71, 112, 106, 54, 42, 81, 54, 42, 94, 54, 84, 103, 78, 35, 64, 117, 94, 100, 51, 97, 56, 75, 50, 72, 86, 71, 118, 79, 99, 113, 36, 89]
for i in range(40):
    print(chr(cipher[i] ^ xor[i]), end='')

hgame{this_vm_is__sosososososososo_easy}

同样的vm逆向在虎符ctf遇到,当时是懵住了,后来才知道vm是啥(=゚Д゚=)。

vm逆向 虎符CTF

这个题对于栈的理解要更强,移动栈顶就可遍历和操作数据。
先留着,日后跟进。
令则师傅tql_虎符ctf vm逆向

北风~
关注
专栏目录
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
虎符杯——虚拟机逆向
寻梦&之璐
04-05 2849
文章目录查壳拖进idavm函数push[input]print vm_stack[vm_sp]eip++ 查壳 拖进ida 有一个输入参数,记得调试时加上参数。即运行时要指定参数./vm , ida调试要在debugger -> process options -> parameters写上参数code bss_data{ Dword vm_eip; Dword vm_sp; Qword code; // *(bss_data+1) Qword vm_stack; // *(
[虚拟机逆向]UNCTF - 2019 EasyVm
qq_24481913的博客
03-06 986
虚拟机逆向是指对一个运行在虚拟机上的程序进行逆向工程。虚拟机是一种软件层,它模拟了一种计算机架构,允许程序在不同的平台上运行。在虚拟机上运行的程序通常使用一种特定的指令集,这个指令集不同于在物理机器上运行的指令集。虚拟机逆向包括对虚拟机本身的分析,以及对在虚拟机上运行的程序的分析。对于虚拟机本身的分析,可以探究虚拟机的指令集、内存布局、代码执行流程等方面。对于在虚拟机上运行的程序的分析,可以通过反编译、动态调试等手段获取程序的源代码、调用栈信息、内存映射等信息,以此来理解程序的行为和工作原理。
VM逆向,一篇就够了
最新发布
HUANGXIN9898的博客
05-22 1006
vm题算是逆向中比较难的一种题型了,在这里详细的记录一下。一 、原理程序运行时通过解释操作码(opcode)选择对应的函数(handle)执行。
第一次认真入门一场ctf比赛
hxm的博客
11-02 629
WP-guicheng [pwn]babyida_pwn 解题思路 反编译代码,看到当输入为2222时拿到shell,ls,看到flag文件 [misc]温柔点 解题思路 zip文件被加密,给出了dic密码本,用py的zipfile暴力破解 # -*- coding: utf-8 -*- import zipfile import os def Test(line): try: with zipfile.ZipFile("H://QAQ//QAQ.zip","r") as f:
【CTF-Reverse】初级两道题
LeeOrange_45的博客
04-06 550
这道题他给了源码,那就可以看源码(没有ida加持看源码没法改原始代码),但是我想用ida32打开,去研究。其中有一个红框(下面的这个红框)的函数根本识别不出来,看到没有!最后选中整个函数按P进行函数组装,然后ida就能识别这个函数啦。(我不知道为啥我打开好慢,他说啥C盘地下有啥东西……将call指令和相应的函数以及多出来的EB都nop掉!看她改名字了,变成sub了。代表ida可以识别了呢。是有两个这种花指令的,人工修改一下?
ThreatPursuit-VM:威胁追踪虚拟机VM
03-16
5. **恶意软件分析(Malware Analysis)**: VM内可能包含各种工具,如动态沙箱、静态分析器等,用于检测、逆向工程和分析恶意软件,以理解其工作原理和可能的危害。 6. **PowerShell**:PowerShell是一种命令行接口...
xl_vm__1.0.zip_32位 虚拟机_xl_虚拟机
09-14
标题中的“xl_vm__1.0.zip_32位 虚拟机_xl_虚拟机”表明我们讨论的是一个名为“xl_vm”的虚拟机软件的1.0...虚拟机技术对于软件开发、测试和逆向工程等领域具有广泛的应用,xl_vm的出现满足了对32位软件支持的需求。
ctf_vm.zip
05-15
\n\n在学习和实践这些CTF VM时,以下是一些关键知识点:\n\n- **逆向工程**:通过分析进制代码来理解软件的工作方式,寻找可能的漏洞。\n- **漏洞利用**:识别并利用程序中的安全漏洞,实现远程代码执行或权限提升...
vmware虚拟机黑苹果解锁插件
07-05
解锁插件通常是由社区开发者编写的,他们会逆向工程VMware的软件代码,找到并修改与macOS兼容性相关的部分,以欺骗系统认为虚拟硬件符合Apple的要求。在这个案例中,"VMware14unlocker_jb51"可能是一个针对VMware ...
人手必备的 逆向分析专用虚拟机
Liyu_6618的博客
02-07 1247
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!红蓝对抗,Web渗透测试,红队攻击,蓝队防守,内网渗透,漏洞分析,漏洞原理,开源 工具,社工钓鱼,网络安全。这个虚拟机贴心的准备了影子系统(虽然有VM快照功能)以便在某些特殊情况下分析病毒木马,以及完成逆向功能。开机后有三种模式,正常模式,单一模式,完全模式。正常模式,重启后不还原。
系统学习vm虚拟机逆向
苗_的博客
09-16 4200
最近做了两个vm逆向的题,为了理解的更透一点并且动手实践,所以写下这篇博: 首先,来说一下什么是vm逆向vm逆向 首先这里的虚拟机往往不是商业的vmp之类的保护软件,而是出题人实现的小型虚拟机,题目本身一般也没有实现某些复杂的功能。 基本原理 这里的虚拟机当然并不是指VMWare或者VirtualBox之类的虚拟机,而是指的意思是一种解释执行系统或者模拟器(Emulator)。 所以虚拟机保护技术,是将程序可执行代码转化为自定义的中间操作码(OperationCode,如果操作码是一个字节,一
虚拟机vm逆向(一)
re1wn
05-06 3057
虚拟机vm逆向(一)
JS逆向之补环境学习笔记(较杂)
Xzike的博客
10-09 4662
JS逆向之补环境下载使用vm2检测环境的一些点参考 下载使用vm2 vm2可以理解为一个纯净的脱离Node的V8环境,相当于重新启动了一个进程,然后在进程中不允许加载Node中的一些东西,禁止了一些Node中的特性,是一个相当于V8的沙箱环境。 npm install vm2 检测环境的一些点 node环境中有process,而V8环境或者浏览器环境中没有process。 任何canvas指纹都存在一定得误杀率,所以厂商不会去对canvas指纹做强校验,因为不同浏览器canvas底层实现代码不同;其次即
js逆向-vscode与vm2无环境联调
逆向新手的博客
11-19 1526
转载自大佬:十一姐 链接: js逆向补环境-调试工具vscode与nodejs使用之无环境联调1、Node.js是一个开源、跨平台的JavaScript运行环境,可以在服务器端运行JavaScript代码。它基于Chrome的JS-V8引擎,使得JavaScript的运行速度非常快,并且提供了一系列的模块,使得开发者可以方便地进行后端开发2、nodejs下载 ,下载node-v18.16.1-x64.msi,除安装路径可以修改,其它一路next即可 3、然后双击下载好的msi程序包,然后一路next,只需
使用SCA逆向VM虚拟机
Mrack
02-25 1289
前言 SCA又称侧信道攻击,核心思想就是通过运行时候各种信息对程序进行攻击。包括简单功耗分析攻击(SimplePower Analysis attacks,SPA)和差分功耗分析攻击(Differential Power Analysis attacks,DPA),与传统密码分析学相比,这种攻击手段攻击效果显著。 VM加密 这里使用的是自己写的一个CrackMe,不使用除了IO的任何系统函数 #include <stdio.h> #include <string.h> const
WinRAR x64 v5.5中文版去广告过程
热门推荐
LPWSTR的博客
09-02 1万+
采用x64dbg配合IDA,用动态分析和静态分析结合的办法去除WinRAR v5.5 x64版本广告的全过程。主要分为获取广告窗口类名称、阻止注册窗口类和创建窗口几大步骤。
X64 函数调用的一些问题
商少
05-10 4045
X64 函数调用的一些问题 对于X86 和 X64 的编码来说,主要有下面几个方面的不同: 1.      X64 具有 64-bit 的寻址能力 2.      16 个64-bit 整数寄存器以及16 个 XMM/YMM 寄存器用于浮点运算 3.      X64 默认使用的是__fastcall调用约定 4.      基于RISC 的异常处理结构   __fastcall调用
深入理解Avm2虚拟机与AS3性能优化技巧
文档强调了AVM2自Flash Player 9.0起引入,为AS3.0提供解释和进制翻译执行的能力,通过JIT/Interpret混合模式显著提高了运行效率。此外,还提到了开源项目Tamarin与AVM2的关联,以及研究AVM2的目的在于理解其工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值