攻防世界 Reverse--EASYHOOK

最新推荐文章于 2025-04-02 22:42:26 发布
原创 最新推荐文章于 2025-04-02 22:42:26 发布 · 562 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了对一个程序的逆向分析过程,通过IDA Pro工具定位main函数,发现程序利用API Hook技术改变了WriteFile函数的行为。通过对关键函数sub_401000的分析,揭示了异或加密的机制。最终,通过解密算法,得到了程序隐藏的flag。该文章深入探讨了逆向工程中如何理解和利用API Hook技术。

拿到题目先查壳,可以发现无壳
在这里插入图片描述
直接拖进ida分析,搜索main函数
在这里插入图片描述
可以看到flag的长度为19,且有个写文件的操作。我们就运行程序看看,生成的文件长啥样。
在这里插入图片描述
生成了一个Your_input文件,用记事本打开发现里面的内容和我们输入的内容不一致,根据题目的名称提示,怀疑这个程序hook了WriteFile这个api。
在这里插入图片描述
在写入文件之前有一个可疑的函数sub_401220,我们跟进去分析一下.
在这里插入图片描述
可以看到这里获取了当前进程的id 还获取了当前进程的句柄,加载了一个模块,以及获取了一个地址.
在这里插入图片描述
可以看到这两个参数分别对应kernel32.dll,以及WriteFile,说明先去加载了这个kernel32.dll,然后去获取了WriteFile的函数地址.
在这里插入图片描述
后面有一个0xE9 对应的汇编指令为jmp,下面有一个计算偏移的操作。再看函数sub_4010D0()
在这里插入图片描述
是一个前面的byte_40C9BC开始的五个字节写入。对应的就是jmp 某个地址. 而写入的地址为WriteFile的函数地址.说明调用WriteFile后会jmp到sub_401080,即跳到我们自己函数来进行处理,因此对函数sub_401080进行分析.
在这里插入图片描述
也是有写文件的操作 但是前面有一个sub_401000函数 对我们输入的字符串进行了处理.所以最后输出文件的内容跟我们输入的值不一样.进入sub_401000函数进行分析.
在这里插入图片描述
可以看到是经典的异或加密,然后和一个字符串比较.
在这里插入图片描述
现在回到main函数,看下sub_401240函数
在这里插入图片描述
也是进行了一通操作,但是并不会将numberOfBytesWritten的值修改为0,所以真正验证的函数为sub_401000.至此此程序分析结束,开始写脚本.
在这里插入图片描述

#include <iostream>
#include <cstring>
using namespace std;
int main()
{
    unsigned int cmpstr[]={
        0x61,0x6A,0x79,0x67,0x6B,0x46,0x6D,0x2E,0x7F,0x5F,0x7E,0x2D,0x53,0x56,0x7B,0x38,
        0x6D,0x4C,0x6E,0x00
    };
    char flag[20]={0};
    int v3;
    for(int i=0;i<19;i++){
        if(i==18){
            flag[i]=cmpstr[i]^0x13;
        }
        else{
            int v3=cmpstr[i]^i;
            if(i%2){
                flag[i]=v3+i;
            }
            else{
                flag[i+2]=v3;
            }
        }
    }
    for(int i=0;i<19;i++){
        cout<<flag[i];
    }
    system("pause");
    return 0;

    
}

最后结果:
在这里插入图片描述
在最前面补0后,即为结果:
flag{Ho0k_w1th_Fun}

攻防世界 reverse进阶区 EASYHOOK WP
qq_55785697的博客
03-26 607
基础步骤,拉进IDA中按下f5得到main函数的反汇编代码 <主要流程>:判断输入flag长度是否为19,一个不明函数401220,接着两个API调用(查了一下就是创建文件然后写入内容,这里是将输入的flag也就是buffer中的内容写入文件),又是一个不明函数401240;判断NumberOfBytesWritten的值,为1则flag正确,可以发现这个参数再writefile和401240函数中都有调用到,初步猜测flag在这俩函数内(后续结果证明我是错的)。 双击进入401240函
攻防世界easyhook
m0_62690279的博客
04-04 392
攻防世界easyhook 题目流程 int __cdecl main(int argc, const char **argv, const char **envp) { HANDLE FileA; // eax DWORD NumberOfBytesWritten; // [esp+4h] [ebp-24h] BYREF char Buffer[32]; // [esp+8h] [ebp-20h] BYREF printf(aPleaseInputFla); scanf("%31s",
攻防世界EASYHOOK(初步了解hook流程)
最新发布
2402_84316445的博客
04-02 326
初步了解hook的流程
攻防世界EASYHOOK
qq_48274326的博客
01-11 634
ida进入主要函数 int __cdecl sub_401000(int a1, int a2) { char i; // al char v3; // bl char v4; // cl int v5; // eax for ( i = 0; i < a2; ++i ) { if ( i == 18 ) { *(_BYTE *)(a1 + 18) ^= 0x13u; } else { if ( i % 2 )
攻防世界[EASYHOOK]
yjh_fnu_ltn的博客
03-23 1387
hook(钩子),就是在执行程序的时候在程序的某个位置(一般在开头位置),安装一个钩子(实际上就是段内跳转的jmp指令),这个钩子的作用时跳到去执行其他函数,从而对当前函数进行阻断。当然,也可以,另外加一个程序在执行完hook的目标函数后,可以对当前被hook的函数进行恢复(上面的题目就是这种),然后再调用它(即上面题目中的writefile函数)。下面我给出一种简单的hook程序,对print_hello函数进行hook,不让其打印hello world,反而其打印我们指定的其他字符串:\n");
攻防世界-reverse-re1
qqqwww_sssd的博客
05-24 1570
工具:ExeinfoPe(查壳用) 链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw 提取码:renw 工具:IDA_Pro_v7.0_Portable 链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw 提取码:renw 跟着大佬做:逆向分析全过程分享——攻防世界——re1_哔哩哔哩_bilibili 1.首先下载附件之后,拖入exeinfo中查看它...
攻防世界Reverse进阶区-re1-100-writeup
y4ung
09-24 985
1. 介绍 本题是xctf攻防世界Reverse的进阶区的题re1-100 2. 分析 $ file RE100 RE100: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=94dd59e952c54304bd14f282695ae62c4f6c
xctf攻防世界 MISC高手进阶区 Reverse-it
l8947943的博客
01-18 6123
1.进入环境,下载附件 给的是一个无后缀的文件,用winhex打开如图: 关键词搜索后无果,考虑提示 2. 问题分析 1 反转 题目提示Reverse-it,那么该reverse什么?我们分析文件头,没有任何线索,分析文件尾部,发现倒序是以为FFD8FF的顺序,在文件比对页面https://blog.csdn.net/holandstone/article/details/7624343进行对比后,知道是JPEG (jpg)文件。 翻译题目的意思,就是将文件的二进制倒序后,存储成二进制文件就是答案。 代
xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number
热门推荐
l8947943的博客
04-09 1万+
0x01. 进入环境,下载附件 题目给出的一个jar文件,我们双击打开,并将文件解压,找到其中的.class文件。我们将其反编译,此处有多种工具,我使用的vscode的Decompiler插件。如图 0x02. 问题分析 我们使用反编译得到的代码如下: import java.math.BigInteger; public class guess { public static String XOR(String _str_one, String _str_two) { BigInteger
攻防世界 Misc高手进阶区 2分题 Reverse-it
闵行小鱼塘
10-30 998
继续ctf的旅程,攻防世界Misc高手进阶区的2分题,本篇是Reverse-it的writeup
EasyHook Documentation
09-30
This is preliminary documentation and is subject to change.]
EasyHook
01-06
EasyHook
Easyhook示例教程
06-08
EasyHook的使用教程网上几乎没有,找了好久最后只好自己爬官网了,本教程包含两部份示例源码,收集来源官方网站。
攻防世界 Reverse高手进阶区 3分题 EASYHOOK
闵行小鱼塘
01-19 620
继续ctf的旅程,攻防世界Reverse高手进阶区的3分题,本篇是EASYHOOK的writeup
攻防世界(三)easyhook
m0_51357657的博客
03-15 483
看题目就知道这是一道动调的题 果然,静态看什么都没有,(那个sub_401240貌似也是个没用的函数。。。 CreateFile 和 WriteFile 那两步看应该是把我们的输入以引用的方式传入了什么进程?(我不太懂,我瞎胡说的。。。)那就先动调看一下我们的输入也就是那个 NumberOfBytesWritten 会在哪一步被改变~ 可以看出输入的aaaaaa被传入了 一步步 f8 ,发现call WriteFile之后输入就变了 所以要在 WriteFile 的地方f7步入,看看加密的函数在哪里。
攻防世界EasyHook
Lynnette177的博客
09-05 444
先获取writefile这个函数的位置,把这个函数备份下来。然后40C9BC处是个跳转,跳转到401080.之后把BC跳转写到writefile的位置,这样执行到writefile就进入了401080函数。才会是这个程序里用来写文件的函数。然后用40c9b4进行备份,然后把40c9bc写成跳转,后续跳转的地址是401080。401140把40C9B4重新写回来,而这正式我们备份的真正的writefile。按照真正的判断函数,我们重写就可以了,注意要把循环倒过来写。看看401240,是一个假的判断的函数。
攻防世界---EASYHOOK
shdbehdvd的博客
09-20 515
(而且其地址很可疑。401000地址,这太熟悉了。经常作为32位老旧程序的入口点。发现我们的输入变成了另一种字符,并且还写了个文件。大胆 猜测,问题出现在 WriteFile 这里。对 WriteFile 进行溯源,查看其汇编代码。不过我少了个字符,但无伤大雅,直接添上就可以了。动调,第一遍,试试水:看看程序的状态。我们对,input进行追踪。进入main:(该改的该)那么,逆向回去就可以了。
攻防世界逆向高手题之EASYHOOK
沐一 · 林 的博客
08-25 3125
攻防世界逆向高手题之EASYHOOK 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的EASYHOOK 这是我第一次遇到HOOK类型的题目,我很是兴奋,我也花了相当长的时间才把该HOOK流程全部弄懂,希望能给日后更多经验。 直接入重点,打开IDA查看main函数,具体分析我写在代码里: sub_401370(aPleaseInputFla); scanf("%31s", input_flag); if ( strlen(input_flag) == 19 ) { sub_4
攻防世界Test-flag-please-ignore
03-18
### 关于 '攻防世界' 的 CTF 活动 #### 背景介绍 “攻防世界”是一个专注于网络安全竞赛的平台,提供多种类型的挑战供参赛者练习和提升技能。这些挑战通常分为多个类别,例如 Web 安全、密码学(Crypto)、逆向工程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值