171207 逆向-JarvisOJ(病毒数据分析)(2)

最新推荐文章于 2023-09-21 23:07:45 发布
最新推荐文章于 2023-09-21 23:07:45 发布
阅读量354 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78756787
版权

1625-5 王子昂 总结《2017年12月7日》 【连续第433天总结】
A. JarvisOJ-Re-病毒数据分析(2)
B.
继续分析
加密算法的识别插件没有识别出来,只能自己来查找了
核心函数sub_401AD0的算法中出现了一个特征常数:

v12 -= 0x61C88647;

百度其发现它可能是RC5、RC6、TEA加密算法,常数通常为加法,以下式出现

+0x9e3779b9;

RC算法中还有另外一个常数P,这里没有,所以估计是TEA算法

而在包装加密函数sub_401CB0中还进行了一些其他的处理,对input、key和output的异或换位等等,因此在解密的时候也需要对应操作
这里写图片描述

在这里查到了writeup:http://docs.ioin.in/writeup/blog.heysec.org/_archives_914/index.html

参考其可以写出解密代码
不过其中的prev_data和prev_tea_data提供了常数,猜测是前一次对key进行tea加密得到的数据
通过动态调试可以获得

准备明天自己再试试,争取研究透这个程序
毕竟它相对而言很贴近实际的抽象了,不能仅仅满足于简单的CTF

C. 明日计划
JarvisOJ-Re-病毒数据分析

奈沙夜影
关注
专栏目录
JarvisOJ——病毒数据分析
40KO的博客
03-07 474
0x00前言 这是一道恶意代码分析的题目,其实特征不太像病毒啦。。。整个流程分析下来,还是有不少收获,虽然最后卡在了某个点,但程序的所有功能和流程都分析完成了(因为不复杂,T__T)。在这里,我就把它当作真正的恶意程序来分析一番。 0x01信息收集 一开始我们没有必要直接去逆向这个程序,而是先收集相关信息,这样能够更轻松的完成逆向分析的步骤。 0.首先将它丢进沙箱 可以看到给出的评估...
jarvis oj reverse 病毒数据分析 writeup
charlie_heng的专栏
02-19 430
这题之前做过,但是做到一半就放弃了,现在又回来做一下 首先这题其实还是有点难度的 我们先来分析下main函数部分,首先它做了反debug判断,获取父进程信息 其次它还判断了程序所在位置,过了这几个判断之后,获取当前时间作为seed给srand 然后在注册表里面拿到文档所在的目录 接着在目录里面搜索docx后缀的文件,将其加密之后发送出去 在加密那里,它做了几件事 1. 生成8字节随机...
171206 逆向-JarvisOJ病毒数据分析)(1)
whklhhhh的博客
12-08 407
1625-5 王子昂 总结《2017年12月6日》 【连续第432天总结】 A. JarvisOJ-Re-病毒数据分析 B. 公司员工的计算机中招了! 在他的计算机上发现了一个病毒样本,同时网关上抓包时发现这台计算机好像传了点加密的信息出来,但是抓到的包可能有点不全,开头的一个包可能漏掉了。 请分析压缩包中病毒样本及数据包信息,解密出这台中招的计算机往外发的信息中包含的
171209 逆向-JarvisOJ病毒数据分析)(3)
whklhhhh的博客
12-11 296
1625-5 王子昂 总结《2017年12月9日》 【连续第435天总结】 A. JarvisOJ-Re-病毒数据分析(3) B. 动态调试发现tea前后内容如下 key: 29 23 BE 84 E1 6C D6 AE 87 EF 80 7C B0 FF 12 D2 明文: E4 3B 05 00 62 00 75 00 buffer: C0 00 67 02 D0 0F
171227 逆向-JarvisOJ(Shell)
whklhhhh的博客
12-28 970
1625-5 王子昂 总结《2017年12月27日》 【连续第453天总结】 A. JarvisOJ-Shell B. 这个64位的upx+golang真是够折腾人的..首先查壳,发现PEiD直接罢工了,我还纳闷儿,明明都能运行了咋还不是有效的PE文件捏 然后ExeInfoPE才告诉我这货是64位文件拖入IDA发现什么都没识别出来 但是通过区段名能看出来是UPX壳然而掏UPX程序出来却
171201 逆向-JarvisOJ(软件密码破解-2)
whklhhhh的博客
12-01 1389
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-软件密码破解-2 B. 这题挺有意思的,确实从JarvisOJ上学到了不少啊运行发现是个CUI程序,随便输入会进入死循环拖入IDA反编译,主函数结构很简单: 很简单的接收,于是跟入查看关键函数check: 进行了一大堆进程操作,总结下来就是将输入的内容作为参数重新开启了一个子进程
171130 逆向-JarvisOJ(Fibonacci)
whklhhhh的博客
11-30 1135
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-Fibonacci B. 首先运行,提示 来让我们玩一个数列游戏: a[0]=0,a[1]=1 a[2]=1,a[3]=2 a[4]=3,a[5]=5 ………….. 请计算a[100000000000000]: 刚开始还以为是通过什么算法做出来,准备
jarvisoj刷题之旅】逆向题目DDCTF - Android Easy的writeup
iqiqiya的博客
09-09 932
下载附件之后   改后缀为.apk 本来是直接载入jd-gui的   结果不好看明白代码 那我们就先放到安卓模拟器运行一下看看    输入123456789 发现Wrong Key   载入Androidkiller 第一步:搜索Wrong 第二步:搜索flag_result_no 第三步:搜索0x7f060023     得到三个好玩的 发现0x7f06...
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
最新发布
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
「勒索病毒」Windows逆向安全-游戏逆向分析 - 访问管理.zip
12-06
信息安全
哈理工oj 1073 病毒
YANSHUOXU的博客
03-13 283
Description某种病毒袭击了某地区,该地区有N(1≤N≤50000)人,分别编号为0,1,...,N-1,现在0号已被确诊,所有0的直接朋友和间接朋友都要被隔离。例如:0与1是直接朋友,1与2是直接朋友,则0、2就是间接朋友,那么0、1、2都须被隔离。现在,已查明有M(1≤M≤10000)个直接朋友关系。如:0,2就表示0,2是直接朋友关系。请你编程计算,有多少人要被隔离。Input第一行...
CTF-RE-Evil exe(Jarvis OJ)
SuperGate的博客
03-02 541
做此题需要的预备知识:ESP定律脱壳。如下网站介绍的比较详细且易懂,适合初学者了解: https://blog.csdn.net/qiurisuixiang/article/details/7649799 扔进ida发现没有函数,只有一堆乱码。于是猜测可能有壳。用OD打开分析一波: 根据 esp定律,我们f8到pushad的下一条指令,记录此时esp的值,并在此处下硬件访问断点。 ...
记录一次手动脱壳 Jarvisoj Reverse Evil.exe
还木人的博客
10-20 343
这个题目的分值是200,对我来说是个不小的挑战啊。 查了一下壳,没有发现什么 真的这么简单?拖入IDA观察: 呃呃呃,果然不简单;在IDA里面没有任何函数的痕迹。只有一个.text段。 猜测,应该是加了某种壳对源程序加密过。用OD载入。 看到OD的提示,再看到这里的循环pushad,看来应该是有壳,可是工具又查不出来,手动? 这时想到了ESP定律,记录个大佬的ESP定律讲解链...
JARVISOJ RE
皮三宝好菜的博客
01-01 562
JARVISOJ RE 今天来吧三道恶心的re写一下。。。 难度从自我感觉的简单到坑排序 爬楼梯 这题其实最“简单”hiahiahia 经过多次实验,其实只要手速过快,轻轻松松啊。 //电脑xps15触屏,更加轻松了23333 =.= evil exe 文件加壳了,直接脱壳,完事后拖入ida 从里面的许多256可以联想到rc4,具体加密过程也不复杂。 这边直接给代码了。 #include &...
Jarvisoj 逆向总结
Assassin
10-13 3873
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...
0x61c8847的秘密
ACMer_Ding的专栏
03-01 1261
0x61c88647的秘密 摘要 :java1.4之前,ThreadLocals处于其对于高性能代码无用的线程争论。在新的设计中,每一个线程包含自己的ThreaLocalMap,这对于性能的提升是全面的,然而,我们依然面临着由于长时间运行线程的ThreadLocalMap的值没有被清理导致的内存泄露问题。 我注意到在我的java专业硕士课程的示例中,并不是每次ThreadLocal...
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 363
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
常见加密算法识别
python_xhb的博客
11-13 621
常见加密算法识别
JarvisOJ basic部分WriteUp
Magic1an的博客
08-25 2820
0x0 前言由于开学后会有一个省赛,作为一个好久没做过除re以外ctf题的小白,不得不抽出时间来刷一刷题…通过做JarvisOJ的basic部分确实学到了不少东西,感谢~
C语言实现的机器狗病毒驱动逆向分析
"这篇资源是关于机器狗病毒的驱动逆向分析,提供了C语言的代码示例,由用户dream2fly分享。这个代码可能用于理解病毒的工作原理,但强调不应用于非法活动。代码中涉及了NT内核定义、设备对象交互、IO控制代码以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值