171206 逆向-JarvisOJ(病毒数据分析)(1)

最新推荐文章于 2019-03-07 20:07:04 发布
最新推荐文章于 2019-03-07 20:07:04 发布
阅读量381 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78747530
版权

1625-5 王子昂 总结《2017年12月6日》 【连续第432天总结】
A. JarvisOJ-Re-病毒数据分析
B.

公司员工的计算机中招了!

在他的计算机上发现了一个病毒样本,同时网关上抓包时发现这台计算机好像传了点加密的信息出来,但是抓到的包可能有点不全,开头的一个包可能漏掉了。

请分析压缩包中病毒样本及数据包信息,解密出这台中招的计算机往外发的信息中包含的flag。flag形式为32位md5类型字符串。

题目来源:CFF2016

这次是CFF的re500,难度肯定比之前两个大咯

扫一眼数据包,是TCP来回进行通信

对程序进行分析,运行发现无反应
那就没法从相关字符串入手了……

从提示中可以看出来是网络通信,那么肯定要依靠socket相关的API
从而定位到核心函数
这里写图片描述
再向上溯源,可以发现它先读取了注册表中“Personal”的键值,调试发现就是“我的文档”的路径

然后遍历该文档下所有文件(包括子文件夹),读取数据后进行加密发送

通信过程为
发送随机8字节
接收16字节
根据刚才的发送值和接收值对数据进行加密,然后发送
最后接收8字节

每个符合条件的文件进行一遍上述循环

查看题目提供的数据包,发现缺失开头的随机8字节,仅拥有之后的16字节+data+8字节的内容
因此要了解加密方法,从而解密出data来得到flag了

大概看了一下,也挺复杂的……

而且关键是由于对方服务器是内网地址,也不知道接收方返回的数据是什么,因此socket.connect不成功,进而不会send出去,动态调试就很困难了

明天仔细逆一下加密方法把

C. 明日计划
JarvisOJ

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
机器学习算法的恶意代码检测
03-04
论文 有关用机器学习算法进行恶意代码检测。分别针对静态、动态这 2 种分析 模式下的检测方案进行了讨论,涵盖了恶意代码样本采集、特征提取与选择、机器学习算法分类模型的建立等要点。对机器学习算法下恶意代码检测的未来工作与挑战进行了梳理。为下一代恶意代码检测技术的设计 和优化提供了重要的参考
新冠病毒数据分析报告
热门推荐
weixin_43446178的博客
03-31 1万+
新冠病毒数据分析报告 数据链接:https://www.kaggle.com/sudalairajkumar/novel-corona-virus-2019-dataset/kernels 1.概述:数据开始日期2020/1/22,数据截止日期2020/3/22。首先对整体做出大概分析和展现,再分别对中国和其他国家做出描述性分析 2.基本特征: 图(1) ...
机器学习实战书中代码+数据集
柠檬黄先生的博客
03-24 9017
来自这里
171207 逆向-JarvisOJ病毒数据分析)(2)
whklhhhh的博客
12-09 315
1625-5 王子昂 总结《2017年12月7日》 【连续第433天总结】 A. JarvisOJ-Re-病毒数据分析(2) B. 继续分析 加密算法的识别插件没有识别出来,只能自己来查找了 核心函数sub_401AD0的算法中出现了一个特征常数:v12 -= 0x61C88647;百度其发现它可能是RC5、RC6、TEA加密算法,常数通常为加法,以下式出现+0x9e3779b9;RC算
JarvisOJ——病毒数据分析
40KO的博客
03-07 426
0x00前言 这是一道恶意代码分析的题目,其实特征不太像病毒啦。。。整个流程分析下来,还是有不少收获,虽然最后卡在了某个点,但程序的所有功能和流程都分析完成了(因为不复杂,T__T)。在这里,我就把它当作真正的恶意程序来分析一番。 0x01信息收集 一开始我们没有必要直接去逆向这个程序,而是先收集相关信息,这样能够更轻松的完成逆向分析的步骤。 0.首先将它丢进沙箱 可以看到给出的评估...
病毒分析工具和使用方法(一)
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
利用机器学习进行恶意代码分类
RYP_S 的专栏
12-08 6631
原文链接:http://drops.wooyun.org/tips/8151 最近在Kaggle上微软发起了一个恶意代码分类的比赛,并提供了超过500G的数据(解压后)。有意思的是,取得第一名的队伍三个人都不是搞安全出身的,所采用的方法与我们常见的方法存在很大不同,展现了机器学习在安全领域的巨大潜力。在仔细读完他们的代码和相关的论文后,我简单的进行了一些总结与大家分享。 需要指出的
171227 逆向-JarvisOJ(Shell)
whklhhhh的博客
12-28 925
1625-5 王子昂 总结《2017年12月27日》 【连续第453天总结】 A. JarvisOJ-Shell B. 这个64位的upx+golang真是够折腾人的..首先查壳,发现PEiD直接罢工了,我还纳闷儿,明明都能运行了咋还不是有效的PE文件捏 然后ExeInfoPE才告诉我这货是64位文件拖入IDA发现什么都没识别出来 但是通过区段名能看出来是UPX壳然而掏UPX程序出来却
jarvis oj reverse 病毒数据分析 writeup
charlie_heng的专栏
02-19 397
这题之前做过,但是做到一半就放弃了,现在又回来做一下 首先这题其实还是有点难度的 我们先来分析下main函数部分,首先它做了反debug判断,获取父进程信息 其次它还判断了程序所在位置,过了这几个判断之后,获取当前时间作为seed给srand 然后在注册表里面拿到文档所在的目录 接着在目录里面搜索docx后缀的文件,将其加密之后发送出去 在加密那里,它做了几件事 1. 生成8字节随机...
Windows逆向安全-游戏逆向分析.pdf
08-08
本公开课旨在: · 给未接触过二进制逆向安全的朋友进行“技术性科普” · 给想入门二进制逆向安全的朋友进行“知识以及技术方向”框架的梳理 · 对二进制逆向安全中的“游戏逆向分析”进行学习框架的梳理与技术演示
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
金盾2016-2017逆向分析系列教程
07-23
教程名称:金盾2016-2017逆向分析系列教程  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
逆向分析技术查看数据123
01-17
有关逆向的文件
基于逆向技术的深层网络爬虫与数据分析-邢羽琪.pdf
12-17
基于逆向技术的深层网络爬虫与数据分析
中转服务配置.zip
04-15
中转服务配置.zip
STC32智能车小主板
最新发布
04-15
根据逐飞官方的资料设计的STC32智能车主板,主要用于电磁循迹、光电循迹等等,接口丰富,电源资源分配充足,可很好的满足其他智能车的主板需求。
2024-2030全球及中国住宅配电盘行业研究及十五五规划分析报告.docx
04-15
2024-2030全球及中国住宅配电盘行业研究及十五五规划分析报告
c# winform编写的图片转ico应用程序
04-15
c# winform编写的图片转ico应用程序
cve-2020-0796漏洞逆向分析
11-21
逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值