博客讲述了在逆向分析过程中遇到的mov混淆问题,分析了程序如何利用memcpy和rand函数,并通过qira工具进行深入动态分析,揭示了混淆下如何通过随机数计算得到关键字节的过程。虽然开源的反混淆效果不佳,但学习到qira工具的使用和分析技巧。
运行发现不接受输入,直接弹出了一串回显
guess the flag: �<�9�c0/(���,� �~2,-
静态分析发现巨量mov,无法创建函数
并且具有dispatch函数来分发memcpy, srand, rand等库函数
以及通过异常处理来调用函数
这些特征都指向了mov混淆movfuscator
通过ltrace可以看到它进行了一次memcpy,然后就是很多rand,最后直接输出
那么问题就是这些rand和memcpy来的数据发生了什么关系呢~
ltrace过于笼统,于是我们使用qira来进一步分析
可以看到,左侧timeline显示了所有调用rand的指令
静态调试是看不到他们的,因为mov混淆是通过一个extern的变量来间接调用的,因此交叉引用找不到
普通的动态调试可以通过在plt段的rand上下断来回溯调用,但过于多的调用次数显然会使得动态调试浪费大量时间
而这就是trace–qira的优势了
此处将rand的返回值存入0x8052060中,然后就覆盖了rax
而附近的指令都再没有引用过0x8052060,于是直接查看这块内存的断点命中情况
最低0.47元/天 解锁文章
扫一扫
1043
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
