171010 逆向-Reversing.kr(PEPassword)

最新推荐文章于 2024-01-18 12:34:22 发布
最新推荐文章于 2024-01-18 12:34:22 发布
阅读量843 收藏 1
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78199183
版权

1625-5 王子昂 总结《2017年10月10日》 【连续第375天总结】
A. reversing.kr
B.

PEPassword

给了两个文件,分别是加密过的和原版的
运行原版的发现弹窗Password是??????
IDA能看到这个password的运算,稍微跑一下就出来了
不过当然它不是真正的password啦╮(╯_╰)╭

运行Packed.exe出现一个输入框,没有按钮
IDA反编译没找到有用的东西

OD断GetWindowText和GetDlgItemText也没有结果

于是乖乖单步跟随,往下几步就找到了有用的东西:
这里写图片描述
查询可知,GetMessage从消息队列中获取消息,TranslateMessage将键盘的扫描码转换成按键码,DispatchMessage则将GetMessage的消息传送给处理函数
这三个函数都是虚函数,难怪IDA找不到线索
那么我们只需要跟着Dispatch找处理函数就对啦

那个je很明显就是循环部分,如果它跳说明check失败,那么我们只需要检查这里的写入就可以了
内存写入断点是一个好方法,不过如果是判断结构的话将不经过写入断点
显然IDA的交叉引用更加有效

最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
【reversing.kr逆向之旅】Ransomware的writeup
iqiqiya的博客
11-15 637
Exeinfope查到有UPX壳 先使用脱壳机进行脱壳 脱壳后载入IDA   发现直接显示太大无法展示 空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令 查看最后结束的位置   就在0x0044A775 直接IDC脚本将他们都NOP掉 auto i,start = 0x004135E9,end = 0x0044A775; for(i=start;i&...
171011 逆向-Reversing.kr(HateIntel)
whklhhhh的博客
10-11 402
1625-5 王子昂 总结《2017年10月11日》 【连续第376天总结】 A. reversing.kr B.HateIntel这个标题真刺激……看起来是mac平台的,只能直接IDA反编译啦╮(╯_╰)╭ARM平台的反汇编没有接触过,直接F5IDA大法好(°∀°)ノ从start函数向后找,在这里发现了关键部分很明显,接收输入后通过sub_232c进行处理,然后循环比较input和byte
Reversing.kr-Ransomware
宗泽的博客
08-07 414
打开后,发现是乱码,这是个悲伤的故事。。 再查一下壳,有壳, 直接上脱壳机,可以把壳给脱掉, 接着放进IDA里,发现还不太行,F5不管用了,ida提示文件太大,没法反汇编。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190807164903278.png 仔细看一下主函数,有大量的无用的代码,花指令。直接写IDC脚本给nop掉,结果还是不行,再找找...
171002 逆向-Reversing.kr(AutoHotKey)
whklhhhh的博客
10-02 1102
1625-5 王子昂 总结《2017年10月2日》 【连续第367天总结】 A. Reversing.kr-AutoHotKey B.AutoHotKey解压出来一个ReadMe一个exe 这次的ReadMe终于看懂了,要求找到两个md5,解密后以空格连接作为flag 那么这两个md5会以什么形式出现呢……查壳显示UPX,乖乖用工具脱掉后再运行提示“Exe corrupted” 未脱壳的
170929 逆向-Reversing.kr(Ransomware)
whklhhhh的博客
09-29 817
1625-5 王子昂 总结《2017年9月29日》 【连续第362天总结】 A. Reversing.kr-Ransomware B. Ransomwarereadme提示解密文件,运行一堆乱码,估计可能是韩文吧 查壳发现有UPX 用ESP定律手脱下来以后拖入IDA发现main函数块巨大,反编译会一直等待 拖入OD进行跟踪,发现在exit前,位于44ab75的call会飞 跟进去以后是
171017 逆向-Reversing.kr(CSharp)
whklhhhh的博客
10-18 672
1625-5 王子昂 总结《2017年10月17日》 【连续第382天总结】 A. reversing.kr B. CSharp标题很明显能看出来是C#,.NET程序 EXEINFOIE和PEiD对.NET的查壳不太好使运行看看,就是一个输入框和按钮直接拖入ILSpy中: Click事件获取输入框的文本,调用MetMetMet MetMetMet中的流程虽然有点凌乱,但是大体上还是能
170923 逆向-Reversing.kr(MusicPlayer)
whklhhhh的博客
09-24 1159
1625-5 王子昂 总结《2017年9月23日》 【连续第356天总结】 A. Reversing.kr-Music Player B. ReadMe显示,现有程序只能播放1分钟,我们需要绕过这个显示从而得到flag,程序有多次检测。从图标和提供的msvbvm60.dll可以知道是VB写的 OD加载发现从ntdll以后F9就直接飞了 用IDA加载也空空如也,只有三个子函数call d
170927 逆向-Reversing.kr(Position)
whklhhhh的博客
09-27 628
1625-5 王子昂 总结《2017年9月27日》 【连续第360天总结】 A. Reversing.kr-Position B.Position惯例先查壳 读Readme可以知道是一个检查Name-Serial的程序,我们需要找到对应Serial为”76876-77776”的Name由于是个GUI程序,只能依靠API或者字符串来定位事件 IDA中没有找到对应的字符串,很是神奇 在OD中
reversing.kr学习之路-ransomeware
diaojian3887的博客
08-16 2267
ransomeware - writeup 题目来源 http://reversing.kr 题目知识点:upx + 花指令 + 堆栈不平衡 + exe特征码提取key 前言 文章只是记录一下自己在reversing.kr上学习CTF逆向的经历,如果文中出现什么技术错误,烦请各位大佬,在评论中指正。本人技术刚刚入门,菜鸟一枚,大佬勿喷啊~ 正文 首先在网站上下载附件,得到一个...
[第七章 CTF之CRYPTO章]LFSR
m0_66879478的博客
01-18 694
[第七章 CTF之CRYPTO章]LFSR
利用PE破解系统密码
weixin_45798017的博客
07-25 6690
前言 利用PE破解系统密码的原理是潜入SAM文件里,SAM文件里都是Hash值,PE破解的方法就是自己设置一段密码,利用Hash算法转化为一段值,然后替换SAM中的Hash值,也就是把加密的密文修改了。 但是,开机过程中SAM文件时不允许被打开的,所以我们要准备一个U盘,把这个U盘做成系统,在U盘上安装一个微型维修操作系统。 实际上,开机的时候有启动顺序,正常来说时从硬盘引导,这我们要...
reversing.kr 开坑(目前完成19题)暂时断更,自闭ing……
qq_42192672的博客
12-05 923
肝就完事了…… 1.Easy Crack 拖进IDA 四段拼起来就好。注意顺序 2.Easy Unpack 让我们找OEP,OD启动 直接OEP定律就好 3.Easy Keygen Find the Name when the Serial is 5B134977135E7D13 拖进IDA 关键操作就是一个异或,如下 3步一轮回,密钥盒子[0x10,0x20,0...
Reversing.kr 全解记录
BadRer的博客
08-28 2783
前言 此篇文章记录了我对Reversing.kr网站的解题过程,有的直接看的wp,有的自己复现了一遍。 先开个头,后续会慢慢补充。 题解 0x0 Easy_CrackMe Ea5yR3versing 0x1 Easy_KeygenMe K3yg3nm3 0x2 Easy_UnpackMe 00401150 0x3 Music_Player LIstenCare 这几题比...
reversing.kr刷题笔记
Sanky0u的博客
07-27 2583
去年9月份为了提高逆向能力刷了一段时间reversing.kr,今天看到笔记的时候挺有成就感的,以后也要继续多多做题整理笔记呀! Easy Unpack Flag:00401150 通过不断跳jmp循环,最终运行到这个位置,开头55 8B 明显是函数开头 定位到OEP 00401150 查栈知道跳转到函数头的代码如下: Replace Flag: 2687109798 这个题目很有意思,开始以为做不了,跳来跳去的以为要改代码,后来发现就是利用跳来跳去的机制混淆,最后利用两次call,给一个地址的连续两个
Reversing.kr EASY-UNPACK
宗泽的博客
06-09 353
无论是OD的提示,还是题目的提示,都表明这是个有壳的程序,同时可以知道,我们的任务就是找到OEP的地址。 放入工具试一下, 确实有壳,但却不知道是什么壳。 下面,脱壳技巧上阵. 一,单步调试法 一步一步来,最终会看到熟悉的代码 这个地址就是最终的flag了。 flag:00401150 二,ESP定律 载入程序,F8一下,看见ESP,EIP同时是红的,在寄存器窗口的ESP处右键,选择‘在数...
现代密码学实验1 LFSR & 仿射密码算法
一半西瓜的博客
10-12 4349
【实验名称】古典密码 【实验目的】 1、LFSR实验:通过实验熟练掌握LFSR的工作原理,加深对古典密码体制的了解,为深入学习密码学奠定基础。 2、仿射密码算法实验:通过实验熟练掌握仿射密码算法的加密解密过程,加深对古典密码体制的了解,为深入学习密码学奠定基础。 【实验原理】...
CTF密码学总结(二)
热门推荐
沐一 · 林 的博客
11-03 3万+
CTF 密码学总结 出人意料的flag: 指在题目中获取到了flag,但是这个flag可能长得不像flag,或者flag还要经过进一步的脑洞处理,而不是常规的解密处理。 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述暗
170925 逆向-Reversing.kr(Replace)
whklhhhh的博客
09-25 1223
1625-5 王子昂 总结《2017年9月25日》 【连续第358天总结】 A. Reversing.kr-Replace B.Replace先查一波壳,还好没有 运行,是一个GUI程序,下面Label框中显示Wrong!,说明没法找Msgbox了呢 随便输入后点Check,就停止运行了……嗯?这么暴力的,输错就GG吗惯例拖入IDA,WinMain中只有构造窗口的DialogBoxPara
攻防世界:streamgame1(考点:LFSR)
MikeCoke的博客
02-18 1353
题目: from flag import flag assert flag.startswith("flag{") # 作用:判断字符串是否以指定字符或子字符串开头flag{ assert flag.endswith("}") # 作用:判断字符串是否以指定字符或子字符串结尾},flag{},6个字节 assert len(flag)==25 # flag的长度为25字节,25-6=19个字节 #3<<2可以这么算,bin(3)=0b11向左移动2位变成1100,0b1100=12(十进制) d
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难题,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值