- 博客(29)
- 收藏
- 关注
RSS订阅原创 171229 逆向-WebAssembly的逆向(1)
1625-5 王子昂 总结《2017年12月29日》 【连续第455天总结】 A. 34c3ctf - wasm B. 搜索一下题目,得到WebAssembly的关键词 WebAssembly 主要试图解决现有技术的一些问题: JavaScript:性能不够理想,以及语言本身的一堆坑(这个大家都懂) Flash:私有技术(而且漏洞一堆),并且是纯二进制格式 Sil
2017-12-30 03:56:10
6570
9
原创 171228 逆向-34c3ctf(m0rph)
1625-5 王子昂 总结《2017年12月28日》 【连续第454天总结】 A. 34c3ctf - m0rph B. 国际的CTF难度真是感人……OTZ虽然确实很好玩就是了64位elf文件,拖入IDA打开,找到main函数 哎哟,这么清晰的结构~真是Easy啊~太年轻了 仔细看看,len要求为23,再往下….v6是函数?qword_202020+8*i这里放着啥函数啊 点过去也
2017-12-29 04:02:01
861
原创 171227 逆向-JarvisOJ(Shell)
1625-5 王子昂 总结《2017年12月27日》 【连续第453天总结】 A. JarvisOJ-Shell B. 这个64位的upx+golang真是够折腾人的..首先查壳,发现PEiD直接罢工了,我还纳闷儿,明明都能运行了咋还不是有效的PE文件捏 然后ExeInfoPE才告诉我这货是64位文件拖入IDA发现什么都没识别出来 但是通过区段名能看出来是UPX壳然而掏UPX程序出来却
2017-12-28 02:32:35
949
原创 171226 逆向-JarvisOJ(APK_500)
1625-5 王子昂 总结《2017年12月26日》 【连续第452天总结】 A. JarvisOJ-APK_500 B. 跟之前的APK300-DebugMe如出一辙 一大堆反调试,字符串都进行了加密,通过异或动态解密来操作DebugMe主要的坑点在于IDA把函数的返回值识别错误了,ARM并没看懂,其他还好这个500的坑点就比较多了.. 首先用Apktool和改之理都报Android
2017-12-27 01:17:59
556
原创 171225 逆向-JarvisOJ(DebugMe)(2)
1625-5 王子昂 总结《2017年12月25日》 【连续第451天总结】 A. JarvisOJ-DebugMe(2) B. 查到WP:http://blog.csdn.net/charlie_heng/article/details/78644424 参照其的说法,v10的算法是7 * (v3 + 1) - 11*sub_E14(7 * (v3 + 1), 11)分别对7和0作为起始
2017-12-26 03:45:47
443
原创 171224 逆向-EvilExe的Shellcode分析
1625-5 王子昂 总结《2017年12月24日》 【连续第450天总结】 A. JarvisOJ-EvilExe(Shellcode分析) B. ShellCode分析将Shellcode复制到OD随便一段空白处中进行分析 注意跳转执行的时候是从第二个字节开始,第一个字节0xEE是没有用的右击第二个字节,设置EIP进行执行 可以发现它动态获取Kernel32.dll和通过LoadL
2017-12-24 21:51:53
488
原创 171223 逆向-JarvisOJ(EvilExe)
1625-5 王子昂 总结《2017年12月23日》 【连续第449天总结】 A. JarvisOJ-EvilExe B. 挑战:《恶意软件分析》 赛题背景: 员工小A收到了一封邮件,带一个文档附件,小A随手打开了附件。随后IT部门发现小A的电脑发出了异常网络访问请求,进一步调查发现小A当时所打开的附件其实是一个伪装成word文档的恶意可执行文件。 赛题描述: 请在试
2017-12-24 02:41:21
761
5
原创 171222 pwn-CGCTF(pwn150)
1625-5 王子昂 总结《2017年12月22日》 【连续第448天总结】 A. CGCTF-cgpwna B. 简单的栈溢出,作为复习用的第一题233结果还是折腾了好久 基本概念不清啦很明显,message函数中存在栈溢出 A和n是全局变量,s是栈上的局部变量虽然s的长度受限,但是因为是全局变量所以可以通过A的溢出来修改n 它们在bss段,发现n紧接着A后面,A的长度是28字节,
2017-12-22 21:01:47
1665
原创 171221 杂项-i春秋【迎圣诞】(可恶的黑客、流量分析)
1625-5 王子昂 总结《2017年12月21日》 【连续第447天总结】 A. i春秋【】-*** B. *题目给了2个文件,分别是web和蓝牙的数据包 查找资料得知,蓝牙的协议分为命令、数据和事件3种 由于我们的目标是flag,因此可以忽略命令和事件,也就是协议为’HCI_CMD’和’HCI_EVT’的 按照协议分类,扫剩下的数据包时发现有一个长度异常的 点进去查看数据发现
2017-12-22 13:59:50
2486
原创 171220 逆向-i春秋【迎圣诞】-NoExec
1625-5 王子昂 总结《2017年12月20日》 【连续第446天总结】 A. ichunqiu【迎圣诞】-NoExec B. 后缀名写着exe,却不能运行~ 用010Editor打开分析一下 发现NT头有很明显的问题 MagicNumber应该是50 45 00 00,被改为了HA 后面一个HA很明显也是后加的,查询一下发现这里是Machine,表示使用的处理器 正确的
2017-12-20 23:42:12
866
原创 171219 JarvisOJ(DebugMe)(1)
1625-5 王子昂 总结《2017年12月19日》 【连续第445天总结】 A. JarvisOJ-DebugMe B. JarvisOJ上的题…真是让人痛苦又快乐着,每题都挺难的,但是又能学到不少东西,但是WP难找真让人头疼OTZ强迫自己学习呀这是拖入IDA反编译,发现是Elf的动态链接库 所以动态调试就比较麻烦了(:з」∠)还要自己写个程序加载它main函数很直接,要求有2个参数
2017-12-20 00:45:13
450
原创 171218 逆向-TPCTF(re200)
1625-5 王子昂 总结《2017年12月18日》 【连续第444天总结】 A. TPCTF-来自计算机七号的挑(song)战(fen): B. 无壳无花,只不过提示语都是中文有点蛋疼我记得之前修复过IDAv6.8的字符显示,貌似IDA这货是不会保存配置的,除非手动改配置文件。。。行吧,重新学习一下 Shift + f12发现仅有flag和hi, man这两句英文被找到了,中文全部丢
2017-12-18 23:58:32
840
原创 171217 逆向-HomuraVM
1625-5 王子昂 总结《2017年12月17日》 【连续第443天总结】 A. CG-CTF(HomuraVM) B. 南邮的Re师傅们真是热爱VM啊……OTZ这一题比WxyVM的两个要难一点,却又比asm汇编级别的解释器简单许多,感谢南邮师傅们(吼姆拉酱?ww)恰到好处的难度控制拖入IDA,结构很清晰 将输入拷贝到一个数组中,然后初始化机器码 变换后进行check很明显解释器就是s
2017-12-17 21:06:51
899
原创 171216 逆向-.Net的保护和对抗(2)
1625-5 王子昂 总结《2017年12月16日》 【连续第442天总结】 A. .Net的保护和对抗(2) B.加密壳这种壳会通过加密元数据、Hook引擎等手段来保护源程序。 因此要熟悉.Net内核,包括JIT的编译过程,执行引擎EE的原理等.Net程序通过Windows的loader加载后,调用.Net框架的dll,随后程序便运行在EE的监管中,Windows本身不再负责该程序的内存分
2017-12-16 18:57:52
349
原创 171215 逆向-.Net的保护和对抗(1)
1625-5 王子昂 总结《2017年12月15日》 【连续第441天总结】 A. .Net的保护和对抗(1) B.强名称这是一种框架提供的验证机制,主要功能是标识版本和原作者 在编译生成可执行文件后可以通过密钥对程序签署强名称,签署后如果直接修改源程序则会报校验错误对抗方法:直接移除 CLR头的flag位CLR头的StrongNameSignature偏移Assembly表中的fl
2017-12-16 18:47:11
333
原创 171214 逆向-.Net分析
1625-5 王子昂 总结《2017年12月14日》 【连续第440天总结】 A. .Net的逆向分析 B.静态分析最强大的是微软自带的ildasm 一方面保证反汇编的代码最准确,另一方面可以进行patch,然后重新打包生成可执行程序最好用的则是以.Net Reflector为代表的反编译器,可以直接反编译出高级语言(如C#、VB等) 在此基础上提供语法高亮、查找、方法跳转和分析等等更强大
2017-12-16 18:18:17
464
原创 171213 逆向-.Net基础概念
1625-5 王子昂 总结《2017年12月13日》 【连续第439天总结】 A. .NET平台加解密 B.概述统一了编程语言 无论程序是用C#、C++还是VB编写的,最终都会被编译为.NET的中间语言IL扩展了PE文件的格式 可执行文件中保存的不是机器码,而是IL指令和元数据改变了程序的运行方式 程序的运行不再由Windows负责,而是.NET框架。.NET框架中的JIT引擎负责
2017-12-16 18:00:05
309
原创 171212 开发板-Arduino连接蓝牙调试
1625-5 王子昂 总结《2017年12月12日》 【连续第438天总结】 A. Arduino调试及mataplotlib绘图 B. 今天终于赶出空去继续跟加勉做本创了 首先复现时又出现了跟去年一样的问题–蓝牙连不上,Arduino数据从串口读出来不对 想找去年的源码未果,于是又好好整理了一番蓝牙确认为2.1版本,手机和电脑上大都为4.0或以上了,于是链接不成功。官方推荐的蓝牙连接器
2017-12-14 00:46:04
813
原创 171211 逆向-高级反调试技术
1625-5 王子昂 总结《2017年12月11日》 【连续第437天总结】 A. 《逆向工程核心原理》-高级反调试技术 B. 花指令这种反调的难度可高可低,不过对于只靠F5的萌新们都是无解的简单的只是在代码块之间放置一些垃圾代码,通过jmp跳过,使得反汇编不正确,进而影响F5的反编译 只需要清除干扰指令,或者动态调试跟一下就能很轻松的解决复杂的则会随机插入大量的花指令,与正确代码混杂在一起
2017-12-13 00:52:58
1213
原创 171210 逆向-Take the maze
1625-5 王子昂 总结《2017年12月10日》 【连续第436天总结】 A. CTF训练平台bugku-Take the maze B. 首先运行,提示输入key 查壳显示无,拖入IDA 根据字符串定位到main函数 这里可以看出基本格式:24位十六机制另外在字符串里可以看到很多print ticket的字样 (这个操作有点像今年国赛的“欢迎来到加基森”呢,吓了我一跳
2017-12-12 00:03:49
579
原创 171209 逆向-JarvisOJ(病毒数据分析)(3)
1625-5 王子昂 总结《2017年12月9日》 【连续第435天总结】 A. JarvisOJ-Re-病毒数据分析(3) B. 动态调试发现tea前后内容如下 key: 29 23 BE 84 E1 6C D6 AE 87 EF 80 7C B0 FF 12 D2明文: E4 3B 05 00 62 00 75 00buffer: C0 00 67 02 D0 0F
2017-12-11 02:39:13
283
原创 171208 逆向、杂项-协会培训稿
逆向前言逆向是对一个程序的反编译,从它的可执行程序中反推出程序的流程、关键部分甚至是全部代码以C(C++与C大致相同,下文不再重复)为例,编译生成的可执行程序(.exe)是代码经过编译、链接生成的PE格式文件。内部蕴含的代码实际上是机器码,可以用汇编语言来解释。由于语言有许多种,例如C++、VB、C#、Python、Java甚至是Android等等,它们各自有各自的特性,因此想逆向一个程序首先要熟悉
2017-12-10 00:08:47
728
原创 171207 逆向-JarvisOJ(病毒数据分析)(2)
1625-5 王子昂 总结《2017年12月7日》 【连续第433天总结】 A. JarvisOJ-Re-病毒数据分析(2) B. 继续分析 加密算法的识别插件没有识别出来,只能自己来查找了 核心函数sub_401AD0的算法中出现了一个特征常数:v12 -= 0x61C88647;百度其发现它可能是RC5、RC6、TEA加密算法,常数通常为加法,以下式出现+0x9e3779b9;RC算
2017-12-09 01:11:53
340
原创 171206 逆向-JarvisOJ(病毒数据分析)(1)
1625-5 王子昂 总结《2017年12月6日》 【连续第432天总结】 A. JarvisOJ-Re-病毒数据分析 B. 公司员工的计算机中招了! 在他的计算机上发现了一个病毒样本,同时网关上抓包时发现这台计算机好像传了点加密的信息出来,但是抓到的包可能有点不全,开头的一个包可能漏掉了。 请分析压缩包中病毒样本及数据包信息,解密出这台中招的计算机往外发的信息中包含的
2017-12-08 00:25:12
395
原创 171205 逆向-JarvisOJ(文件数据修复)
1625-5 王子昂 总结《2017年12月5日》 【连续第431天总结】 A. JarvisOJ-Re-文件数据修复 B. 有个文件加密工具,能将一个文件加密到一个.ctf文件中去。 有一个犯罪分子将存有犯罪记录的一个名为“CTFtest.ctf”的加密文件被删除了。 现经过数据恢复,我们已经恢复了该文件。但是很不幸,该文件头部的部分数据已经被覆盖掉了。这个.ctf
2017-12-06 22:53:11
613
原创 171204 逆向-JarvisOJ(软件密码破解-3)(3)
1625-5 王子昂 总结《2017年12月4日》 【连续第430天总结】 A. JarvisOJ-Re-软件密码破解-3(3) B. 立完flag今天就搞定了233 主要依靠http://www.read138.com/archives/041/o2hwtxkv725p2hwk/的讲解昨天SEH中没找到是因为这里的异常处理是用的VEH,向量化异常处理VEH有两个新增异常处理结构的AP
2017-12-04 20:33:05
533
原创 171203 逆向-JarvisOJ(软件密码破解-3)(2)
1625-5 王子昂 总结《2017年12月3日》 【连续第429天总结】 A. JarvisOJ-Re-软件密码破解-3(2) B. 看来短时间还搞定不了这题了…… 上回说到题目中最后计算了一个区域的值的长度,准备研究它的来源通过查找交叉引用发现了这个地方: OD跟踪也可以发现确实是这里在负责写入里面有一些机制来判断数字范围,例如必须为十六进制大写数字,否则将直接return结
2017-12-03 23:36:24
533
原创 171202 逆向-JarvisOJ(软件密码破解-3)(1)
1625-5 王子昂 总结《2017年12月2日》 【连续第428天总结】 A. JarvisOJ-Re-软件密码破解-3(1) B. 说2有点意思的报应来了……这又来个3,并且还挺坑的OTZ查壳发现没有,直接打开,发现“确定”按钮是不可用状态 以为跟上次的一题一样是故意改的,于是使用SpyLite将按钮改为可用,结果马上就又变回去了,说明有代码在操作那么就不是这种小花招了,去OD中断G
2017-12-02 23:11:04
682
2
原创 171201 逆向-JarvisOJ(软件密码破解-2)
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-软件密码破解-2 B. 这题挺有意思的,确实从JarvisOJ上学到了不少啊运行发现是个CUI程序,随便输入会进入死循环拖入IDA反编译,主函数结构很简单: 很简单的接收,于是跟入查看关键函数check: 进行了一大堆进程操作,总结下来就是将输入的内容作为参数重新开启了一个子进程
2017-12-01 15:39:15
1377
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人