p_info corrupted的一道逆向

最新推荐文章于 2024-10-09 11:16:10 发布
最新推荐文章于 2024-10-09 11:16:10 发布
阅读量579 收藏
点赞数 1
文章标签: linux 服务器 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58540095/article/details/134282108
版权

这题也是比较有意思的,upx脱壳不了,学到了个新混淆技术可以干扰upx脱壳,如果直接脱壳会报错

这里爆了p_info文件头错误,这里需要二进制编辑软件修改字节

55 50 58 21为upx标识,从21后面数八位,然后修改也是八位,这八位就是p_info损坏的部分

修改啥呢,010翻到文件底部,文件尾部的前八位的四位,我们这里复制,要复制它的hex,

我们选中这四位,再点击010左上角edit编辑,选择copy hex

再向刚才的p_info损坏部分粘贴,这里粘贴也是需要粘贴十六进制,方法同上,是paste

修改完后,就可以发现文件可以正常脱壳了

开始逆向分析,用ida64位打开

shif12查找字符串,这里发现,一个类似base编码,一个假的flag,还有一个good job应该是比较字符串的回显,我们跟进base编码

发现主要函数,v1就是我们要注意的变量,  MException::MException(v0, v1);函数调用,我们跟进下

void checkInput(void)
{
  void *v0; // rdi
  char v1[32]; // [rsp+10h] [rbp-B0h] BYREF
  unsigned __int64 v2; // [rsp+98h] [rbp-28h]

  v2 = __readfsqword(0x28u);
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string(v1);
  std::operator>><char>((std::istream *)&std::cin);
  v0 = _cxa_allocate_exception(0x30uLL);
  MException::MException(v0, v1);
  _cxa_throw(v0, (struct type_info *)&`typeinfo for'MException, MException::~MException);
}

这里发现给a1[10]赋值为6,然后返回值又调用了一个函数,再跟进下

__int64 __fastcall MException::MException(std::exception *a1, __int64 a2)
{
  std::exception::exception(a1);
  *(_QWORD *)a1 = off_5B2190;
  std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::basic_string((char *)a1 + 8, a2);
  *((_DWORD *)a1 + 10) = 6;
  return MException::doSomething(a1);
}

这个函数名叫dosomething,很显然已经暗示的很明显了,这里调用了reverse函数,对四个变量做处理,base_table值为

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

(this+10)-1,之前赋值是6,再减一不就是5吗,这里reverse函数调用了三次,我们跟进下

__int64 __fastcall MException::doSomething(MException *this)
{
  MException::reverse(this, base64Table, 0, *((_DWORD *)this + 10) - 1);
  MException::reverse(this, base64Table, *((_DWORD *)this + 10), 63);
  return MException::reverse(this, base64Table, 0, 63);
}

这里发现对数组数据进行了异或,a2是basetable,这里很显然是将basetable的值改变了,我们用base异或完的表对上面字符串进行base解密就是flag

__int64 __fastcall MException::reverse(MException *this, char *a2, unsigned int a3, int a4)
{
  __int64 result; // rax

  while ( 1 )
  {
    result = a3;
    if ( (int)a3 >= a4 )
      break;
    a2[a3] ^= a2[a4];
    a2[a4] ^= a2[a3];
    a2[a3++] ^= a2[a4--];
  }
  return result;
}
#include<stdio.h>
int main()
{
	char base_table[]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
	int i=0;
	int b=64;
	int x=5;
	while(1)
	{
		if(i>=x)
		{
			break;
		}
		base_table[i]^=base_table[x];
		base_table[x]^=base_table[i];
		base_table[i++]^=base_table[x--];
	}
	puts(base_table);
	x=6;
	i=63;
	while(1){
		if(x>=i)
		{
			break;
		}
		base_table[x]^=base_table[i];
		base_table[i]^=base_table[x];
		base_table[x++]^=base_table[i--];	
	}
	puts(base_table);
	b=63;
	i=0;
while(1){
	if(i>=b)
		{
			break;
		}
		base_table[i]^=base_table[b];
		base_table[b]^=base_table[i];
		base_table[i++]^=base_table[b--];
	}
	puts(base_table);
	return 0;
 }

xiao_1bai
关注
upx解压出现 p_info corrupted错误解决办法
lirunling的博客
11-11 1318
今天捕获到一个挖矿木马work32,在分析过程中,查壳发现加壳为upx3.93 使用upx脱壳工具脱壳过程中,会提示以下错误 p_info corrupted为p_info损坏,百度了一圈说是病毒制作者使用的一种防范手段,不让轻易脱壳 下面为解决这个问题的方法 使用winhex十六进制查看工具查看这个加壳的样本,发现upx文件头的p_info位置的12个字节部分被0填充,这也是我们无法解压的原因 现在要恢复p_info的值,而p_info和p_filesize包含相同的值,p_fil.
逆向:UPX脱壳
围城
05-18 2019
2020/05/18 - 引言 本身对加壳这种东西只是知道,只知道可以使用软件进行自动化脱壳,没有具体了解过原理。然后,最近部署的蜜罐经常下载UPX加壳的样本。这次就来分析一下。 学习到的东西 利用vim修改十六进制内容 upx脱壳 样本 首先,蜜罐中经常下载的一个文件名称为i。 i样本 文件已经stripped,然后通过string命令查看,大部分字符串没有什么意义,但可以看到有...
linux 软件脱壳机,关于UPX脱壳后程序无法运行
weixin_29164497的博客
05-06 2010
如何实现upx的脱壳(请详细说明步骤和软件)?upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了啊D壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Marku...
深入伪UPX分析之一汇编分析
09-11 2954
 作 者: menting时 间: 2008-08-23,10:54链 接: http://bbs.pediy.com/showthread.php?t=71248经过一翻周折,UPX这个简单的壳,我却么有搞定!_!.不得不难过了:(一直心情很糟糕,么有办法静下来做东西了.好长时间么来看雪了,今天碰到个很简单的UPX壳,我竟然么有搞定.天哪~~~~,我是何等的渺小.一直想给看雪带点好东西,但是我依
php报错 "zend_mm_heap corrupted"
weixin_30952103的博客
05-16 1084
一:环境介绍阿里云 [machao@gksn]$ cat /etc/redhat-release CentOS Linux release 7.0.1406 (Core) 本地有测试环境和线上环境,线上环境放在svn[machao@iZ233xdnwmfZ ~]$ php -vPHP 5.6.20 (cli) (built: Apr 9 2016 20:40:37) Copyrig...
记录蓝屏问题FAULTY_HARDWARE_CORRUPTED_PAGE
qq_43957139的博客
10-17 9323
蓝屏报错FAULTY_HARDWARE_CORRUPTED_PAGE
VMware虚机启动报Internal error xfs_want_corrupted_goto 和Internal error xfs_want_corrupted_return报错
hedao0515的专栏
12-11 916
VMware虚机启动报dm0 internal error xfs_want_corrupted_goto at line 1727 报错,虚机进入救援模式
Centos 7 XFS_WANT_CORRUPTED_GOTO 启动失败
thinker
08-25 1687
Centos 7 LVM xfs文件系统修复 情况1: [sda] Assuming drive cache: write through Internal error xfs XFS_WANT_CORRUPTED_GOTO at line 1662 of file fs/xfs/libxfs/xfs_alloc.c Caller xfs_free_extent+0x130 [xfs] Internal error xfs_trans_cancel at line 990 of file fs/x.
PHP报错child 30396 said into stderr: "zend_mm_heap corrupted"
十月鱼的博客(本博客不再更新,作者迁移至:http://wiki.51centos.com)
03-06 2595
一、环境介绍 1.Centos 7.3 8核32G 有测试环境和正式环境,生产环境放在SVN上,以前的运维做的(建议大家线上代码不要放在SVN,后文介绍原因) 2.报错内容: 官网一个功能突然不能用了,访问显示502。排查php-fpm.log显示如下报错。但是测试环境一模一样的代码,功能可以正常运行。 [06-Mar-2018 15:54:57] WARNING: [pool www...
corrupted-memory-example:GHC运行时内存损坏
05-03
损坏的内存示例 该存储库是我packed库的副本。 但是,我已删除了尽可能多的内容,以使内存损坏的重现性最小,从而导致GHC运行时在垃圾回收期间崩溃。 关于讨论。 跑步 $ make deps TEST_HC=ghc-stage2 ...
RHEL7 - Cannot boot with XFS_WANT_CORRUPTED_GOTO error
laviolette的专栏
03-26 1947
I've been using the RHEL7.3 system for more than 1 year, suddenly system failed to boot up, hanging somewhere right before UI pops up for password input. IssueSystem halts during boot after showin...
【Debug系列】Core dumped “corrupted size vs. prev_size”
热门推荐
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
11-06 2万+
DATE: 2019-11-5 1、参考 Understanding “corrupted size vs. prev_size” glibc error 堆相关漏洞利用libc异常提示原因记录 linux 堆溢出学习之malloc堆管理机制原理详解 Linux堆溢出漏洞利用之unlink 2、问题说明 3、原因和解决方案 4、linux 堆溢出之malloc堆管理机制原理
【2024版】最新kali linux入门及常用简单工具介绍(非常详细)零基础入门到精通,收藏这一篇就够了_kalilinux
weixin_57514792的博客
10-07 1188
最新kali linux入门及常用简单工具介绍
黑马linux笔记(转载)
pscool的博客
10-01 2138
我们所熟知的计算机是由硬件和软件组成的。计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称。(看的见、摸得着的东西:CPU、内存硬盘、显示屏、鼠标等)是用户和计算机硬件之间的接口和桥梁,用户通过软件和计算机进行交流。(操作系统,就是软件的一类)学习Linux系统,就需要有一个可用的Linux系统。由于Linux系统并不适合日常办公使用,所以我们需要借助虚拟机来获得可用的Linux系统环境进行学习。借助虚拟化技术,我们可以在系统中,通过软件:模拟计算机硬件,并给虚拟硬件安装真实的操作系统。
linux之curl
qq_41081716的博客
10-06 407
发送指定的数据作为POST请求的主体。数据可以是键值对的形式。: 添加自定义HTTP头部。可以多次使用以添加多个头部。: 用于发送表单数据,特别是文件上传。: 指定请求方法,例如。
Linux中定时删除10天前的日志文件
最新发布
pcj_888的博客
10-09 440
如题
linux中的硬链接和软链接
jkzyx123的博客
10-08 361
内容共享:硬链接共享inode,因此所有硬链接和原文件共享同样的内容;而软链接有自己的inode,不直接包含任何数据,仅包含所指向文件的路径。删除行为:删除最后一个硬链接或原文件之前,数据仍然存在;而一旦删除了软链接的目标文件,软链接就失效了。跨文件系统:硬链接不能跨文件系统;软链接可以。链接对象:硬链接不能用于目录;软链接既可以用于文件也可以用于目录。占用空间:硬链接不额外占用空间;软链接占用少量空间来存放路径信息。理解这些差异可以帮助你更好地选择合适的链接类型来满足特定需求。
Linux】使Ubuntu自适应窗口大小并与主机共享文件
Frost_Descent的博客
10-04 469
VMware Tools™ 是一组服务和模块,是VMware公司在其虚拟化平台中提供的一套工具集,旨在提高虚拟机的性能和稳定性。它包含多个组件,如设备驱动程序、文件共享功能、时间同步功能、屏幕分辨率调整功能、剪贴板共享功能等。这些组件共同作用,可以显著提升虚拟机的性能和效率,增强虚拟机的安全性和管理能力。重启后,虚拟机可以自适应VMware Workstation窗口大小并可以在电脑与虚拟机间共享文件。在虚拟机桌面右键调出菜单,选择Open In Terminal(Ctrl+Alt+t)
corrupted size vs. prev_size排查
12-31
"corrupted size vs. prev_size"是一个在编程/软件开发中经常遇到的错误信息,通常出现在使用动态内存分配函数(如malloc、free等)的情况下。 这个错误通常发生在当一个已经释放的内存块被重新使用时。内存管理函数通常会维护一个链表或堆栈来跟踪内存块的大小和状态。错误信息"corrupted size"表明,某个内存块的大小和链表/堆栈中记录的大小不一致。而"prev_size"表示的是前一个内存块的大小。 排查这个问题通常需要检查以下几个方面: 1. 确保程序中的动态内存分配和释放函数的使用正确无误,例如,保证分配和释放的内存块地址和大小没有错误。 2. 检查内存溢出或越界的情况。比如,分配的内存块被超过了其申请的大小进行访问。 3. 检查是否存在野指针的问题,即被释放的内存块被再次引用造成错误。 4. 检查是否存在并发访问共享内存的问题,例如,多线程或多进程同时访问同一块内存。 除了以上几点,还可以通过调试工具来跟踪具体的内存分配和释放操作,以便进一步定位错误的源头。 总之,corrupted size vs. prev_size错误通常是由于内存管理问题导致的。找到并解决与内存分配和释放相关的错误通常能够解决这个问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值