2017年06月_奈沙夜影

原创 170629 Pwn-XCTF决赛的Pwn视频分析

1625-5 王子昂总结《2017年6月29日》【连续第270天总结】A.XCTF总决赛 PwnB.看二进制指导的时候误打误撞看了一个Pwn的视频writeup，不过技术原理上与逆向相同的，区别只在于Pwn主要对程序的反编译来找到程序的漏洞（如栈溢出、逻辑BUG等）从而获取隐藏的flag，而Reverse是拆解理解程序的功能来获得flag本题比较简单，是通过栈溢出的漏洞；环

2017-06-30 17:16:08 1160

原创 170628 逆向-安卓查壳软件ApkDetecter安装

1625-5 王子昂总结《2017年6月28日》【连续第269天总结】A.今天折腾了一天查壳和脱壳软件脱壳在论坛上发现了使用IDA动态调试的教程，准备用adb跟着的时候发现模拟器是x86架构的，而IDA提供的android_server是arm指令集的，手头又没真机OTZ遂再等两天吧惊喜的发现了一个查壳的工具ApkDetecter：https://github.com/Andy

2017-06-29 00:41:56 3088

原创 170627 逆向-GeekerDoll

1625-5 王子昂总结《2017年6月27日》【连续第268天总结】A.全国大学生安全竞赛之GeekerDollB.之前试了很多方法，IDA中找不到源码，因为是64位的所以OD也跟不了，拖到linux虚拟机中用IDA单步跟，被计时器的消息给报异常中断了，无论怎么走都过不去……最后换了writeup看，发现了之前提到过但是没给连接的github上的haskell的反编译的程

2017-06-28 03:29:55 1170

原创 170626 逆向-Crackme之005

1625-5 王子昂总结《2017年6月26日》【连续第267天总结】A.Crackme（5）B.终于在XP中成功脱掉UPX的壳了，OD+DEDE动静结合看吧DEDE中显示出有这些事件，逐个识别分析两个计时器，Timer1是用来使四张图片循环滚动的；Timer2点开就是一堆cmp，猜测这个就是最终通过的地方了，到OP中跳转到相应RVA下断然后爆破，下方按钮变

2017-06-26 20:27:22 507

原创 170625 逆向-Crackme之010

1625-5 王子昂总结《2017年6月25日》【连续第266天总结】A.Crackme(10)B.回头尝试一下三星难度的，第一个5由于正在装XP系统所以明天再解决10号是VB，送入IDA无法识别函数，估计是P-CODE，拖入VB Decompile，成功反编译出源码，只有一个按钮：Private Sub Command1_Click() '401E20 loc_

2017-06-26 11:34:38 437

原创 170624 逆向-失败的脱壳

1625-5 王子昂总结《2017年6月24日》【连续第265天总结】A.脱壳前瞻B.明天考试于是基本都在复习高数拽了一个？难度的CrackMe试试，拖入PEiD发现第一次遇到壳 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d

2017-06-25 02:25:11 649

原创 170623 逆向-maze

1625-5 王子昂总结《2017年6月23日》【连续第264天总结】A.ciscn-mazeB.惯例先拖入PEiD，发现是VC++看这个题目明显是走迷宫类型的，先运行一下试试吧用CMD打开，毫无提示直接结束期待显示迷宫的我似乎搞错了什么OTZ这种类型OD就不太好分析了，算法太复杂了直接送入IDA，找到main函数F5，发现先是判断参数存在则继续，否则直接结

2017-06-24 03:18:17 876

原创 170623 逆向-暗号

1625-5 王子昂总结《2017年6月22日》【连续第263天总结】A.全国大学生信息安全竞赛2016 Reverse GeekerDoll和暗号B.GeekerDoll用记事本打开以后发现文件头显示ELF，这是Linux的可执行文件，可以使用IDA调试、反编译静态调试时由于一些函数的jmp地址储存在寄存器中，因此无法进行于是连接上Linux虚拟机进行动态调试，选择R

2017-06-23 04:38:06 727

原创 170621 逆向-CrackMe之027

1625-5 王子昂总结《2017年6月21日》【连续第262天总结】A.CrackMeB.大概了解了一下ELF文件，Linux平台下的可执行文件，使用终端可以执行在win平台下可以直接使用IDA进行处理不过IDA动态调试很懵，F5不是找不到入口函数就是未定义的函数，看的几篇writeup中都直接分析了代码和算法，并没有介绍开头的基本步骤...平常不用IDA的后果就是到

2017-06-22 03:12:46 469

原创 170620 逆向-CrackMe之034

1625-5 王子昂总结《2017年6月20日》【连续第261天总结】A.CrackMe(34)B.从没见过的KeyFile形式验证，拖到PEiD中查看，幸好是MASM汇编写的拖到OD里运行，比昨天还恐怖，没有任何输入、选择和确认信息猜测应该是开始运行的时候检测根目录下是否存在KeyFile，但是失败了也没有弹窗，连查MessageBox的机会都不给那么有两个办法：

2017-06-20 21:30:11 412

原创 170619 逆向-CrackMe之033

1625-5 王子昂总结《2017年6月19日》【连续第260天总结】A.CrackMe（27）B.拖入PEiD，显示MASM，汇编写的程序。前天那个异或自己指令的程序真是给我留下心理阴影了……F9运行，窗口空白，菜单栏的FILE点不开，估计是后一个KeyFile类型的时候用的HELP里有Register和About，点开Register里面就是Name/Serial的

2017-06-20 01:39:46 592

原创 170618 杂项-二叉搜索树和图的相关算法

1625-5 王子昂总结《2017年6月18日》【连续第259天总结】A.二叉搜索树和图B. 二叉搜索树：每个节点拥有一个关键字，通常要求关键字彼此不通左子树下的节点的关键字都要小于根节点，右子树下的节点的关键字都要大于根节点。在查找数据的时候，只需要判断数据和当前节点的大小就可以决定向其的左子数或是右子数继续查找了优点在于，当需要插入或删除数据的时候，线性数据结构

2017-06-18 23:40:06 398

原创 170617 逆向-CrackMe之024

1625-5 王子昂总结《2017年6月17日》【连续第258天总结】A.CrackMe(24)B.这个CM做了好几天了，第一次见到自己修改自己指令的判断，还是挺懵的放到PEiD里监测显示是MASM，纯汇编写的程序能玩的花样就比编译器制造的多得多了首先在OD中运行，总是跳到奇奇怪怪的命令里去尝试放到IDA中反汇编，只出现了窗口相关的代码，在最后只知道进入了某个函数中

2017-06-18 03:12:13 508

原创 170616 逆向-flag_check

1625-5 王子昂总结《2017年6月16日》【连续第257天总结】A.实验吧-check flagB.题目是一个网页：http://ctf5.shiyanbar.com/qwctf/flag-checker.html打开直接弹窗问Flag，F12查看源代码发现输入与一个很长很恐怖的式子进行校验：if (a.length==47&&a[11]-a[5]%a[1]*a[

2017-06-17 02:20:36 986

原创 170615 逆向-10000000

1625-5 王子昂总结《2017年6月15日》【连续第256天总结】A.实验吧题目-10000000B.先拖入PEiD，显示Unknown和yoda's Protector v1.02查了一下，似乎是PEiD的数据错误导致无壳或是无法识别的壳都显示为这个不管了，先放入OD里运行试试吧成功加载，DOS窗口显示“喵？”嗯……大概是让输入的意思吧？随便输入了123进

2017-06-16 23:07:58 630

原创 170614 杂项-.NET平台基本概念

1625-5 王子昂总结《2017年6月14日》【连续第255天总结】A..NET平台加解密B..NET是微软设计的独立于操作系统之上的平台，可以将它看成一套虚拟机，无论机器运行的是什么操作系统，只要该系统安装了.net框架便可以运行.NET可执行横须，享受基于.NET的各种服务。它统一了编程语言，无论是用C#，C++还是VB编写的，最终都被编译为.NET的中间语言IL

2017-06-15 11:59:30 367

原创 170613 逆向-CrackMe之023

1625-5 王子昂总结《2017年6月13日》【连续第254天总结】A.CrackM（19）B.PEiD显示是TASM/MASM写的，貌似是纯汇编？居然有界面打开，没有弹窗和按钮，只是通过一个文本框来显示正确和错误在OD中用CTRL+N查看GETWINDOWTEXTA的调用就找到了主程序段也可以通过查找字符串来锁定往下拖一些看到了两个字符串，在之前是cmp和j

2017-06-13 21:50:27 329

原创 170612 杂项-搜索与排序算法

1625-5 王子昂总结《2017年6月12日》【连续第253天总结】A.计算思维-搜索与排序B.搜索：在一长串的数列当中找到一个特定的数字的过程线性搜索：从存储的数据开头开始搜索，直到找到指定的数据简单，但不适合数据量较大的情况二分搜索：排序后与中间数比较，抛弃一半后重复上述过程期望时间为以2为底的对数，查找次数要比线性搜索少得多优点是极其快缺点是

2017-06-12 17:03:57 307

原创 170611 逆向-gctf的debug的writeup

1625-5 王子昂总结《2017年6月11日》【连续第252天总结】A.gctf reverse（1）B.下载到debug.exe后拖入PEiD，发现是C#做的刚好之前在实验吧的练习中学到了C#的逆向方法：使用ILSpy工具进行反编译轻松得到源码，接下来就是分析即可虽然函数名字都显示为乱码了，但是最终还是在一个类中找到了相关的函数最外层函数：// ᜅpriva

2017-06-12 13:15:02 543

原创 170610 逆向-CrackMe之019

1625-5 王子昂总结《2017年6月10日》【连续第251天总结】A. CrackMe(19)B. 第19个为Name/Serial类型，拖入PEiD，无壳 C++那么应该也是mfc界面了运行，随便输入123以后报出长度不足的提示暂停查看调用堆栈，锁定MessageBox的调用后就找到主线程了输入符合要求的Name单步跟下去，在错误提示前不远处有一个call后紧跟着

2017-06-12 13:11:53 380

原创 170609 逆向-VB的自然编译和伪编译

1625-5 王子昂总结《2017年6月9日》【连续第250天总结】A.VB的自然编译和伪编译B.自然编译是VB源代码生成汇编代码并链接的过程。因为是生成汇编代码，因此完全遵照一般的反汇编常规VB中常用的函数有strcmp,strcopy,strmove,vartstne等等在http://www.cnblogs.com/bbdxf/p/3780187.html有整理

2017-06-09 18:24:20 956

原创 170608 逆向-CrackMe之018和一个简单的论坛CM

1625-5 王子昂总结《2017年6月8日》【连续第249天总结】A.CrackMe（18）（19）B.中间两个难度是？，留到最后解决18拖入PEiD，无壳，第一次反编译C++程序拖入OD，运行。还好有GUI，大概是mfc吧。只有一个输入框和确认按钮随便输入，点确认。弹窗错误暂停后ALT+K查看调用堆栈，跟delphi简短一目了然的堆栈不同，非常多，并且存在好

2017-06-08 20:41:48 400

原创 170607 杂项-数据压缩和错误纠正

1625-5 王子昂总结《2017年6月6日》【连续第248天总结】A.计算理论第二章数据压缩和错误纠正B.数据压缩分为有损和无损两种有损常应用于多媒体之中编码分为固定长度和不等长两种固定长度编码可以用log2n的编码长度来编码n个不同的字符在所有字符出现频率相同的情况下，固定长度的编码的空间效率是最高的eg:ASCII而由于在实际应用中，字符出现

2017-06-07 16:09:10 297

原创 170606 逆向-CrackMe之015

1625-5 王子昂总结《2017年6月6日》【连续第248天总结】A.CrackMe(15)B.今天的一星又有点太简单了╮(╯_╰)╭不过第一次爆破掉NAG，而且还是绕了一下的，还是记一下拖入PEiD，无壳VB5运行，首先跳出一个Nag窗口，然后是Serial先处理Nag，因为和001的无边框计时7s不同，直接是一个MsgBox那思路很明显，暂停后ALT+K找

2017-06-06 23:43:18 311

原创 170605 逆向-Delphi和VB的理论

1625-5 王子昂总结《2017年6月5日》【连续第247天总结】A.Delphi程序和VB程序B.Delphi和C++ Builder除了语言不通，其余几乎都相同Delphi和C++ Builder采用的是VCL（可视化组件库）技术，环境使用一种特殊的资源格式RCDATA。RCDATA中含有Delphi的窗体，所有对窗口设计的信息都包含在内。当一个典型的Delphi

2017-06-06 00:44:20 1000

原创 170604 逆向-CrackMe之014

1625-5 王子昂总结《2017年6月4日》【连续第246天总结】A.CrackMe(14)B.拖入PEiD，无壳，然而又是VB先用OD运行试试，这次有弹窗F12暂停后ALT+K查看调用堆栈，在最后一个地方找到了MsgBox的调用跟过去，上下翻翻就看到了ASCII文本在错误的前方的jmp处NOP掉，再来一次，仍然报错翻到开头，单步跟发现有长度与9进行比

2017-06-04 22:11:47 380

原创 170604 逆向-CrackMe之013

1625-5 王子昂总结《2017年6月3日》【连续第245天总结】A.CrackMe（13）B.中间几个的难度是三星和???……吓到我了，完成第一页以后再去挑战这几个吧第13个拖入PEiD，显示VB，无壳拖入OD，运行，有两关，分别是Serial和Name/SerialSerial：随便输入一个，点击Try以后在文本框内显示了Try Again!没有Msg

2017-06-04 03:23:20 562

原创 170602 逆向-CrackMe之009

1625-5 王子昂总结《2017年6月2日》【连续第244天总结】A.CrackMe(9)B.今天的是一个Name/Serial类型的，拖入PEiD显示VB-无壳随便输入错误以后弹窗，虽然内容看不懂不过肯定是错误就对了在OD中暂停，ALT+K显示堆栈，找到MsgBox的调用，跟过去向上翻一点看到了错误窗口的字符串，再往上就看到了另外一段不明意义的字符串再向上就

2017-06-02 18:56:36 399

原创 170601 逆向-CrackMe之008

1625-5 王子昂总结《2017年6月1日》【连续第243天总结】A.CrakckMe(8)加密与解密字符串B.把8号拖入PEiD，无壳，是VB写的打开，只有一个文本输入框和确认按钮，特别小巧随便输入一个，点击OK…… (╯°Д°)╯︵┻━┻哪国语啊这是就当它是失败的意思吧……拖到OD里，直接文本串搜索，找到了四个看起来有意义的

2017-06-01 19:37:55 278

whklhhhh的博客