【reversing.kr逆向之旅】Ransomware的writeup

最新推荐文章于 2020-07-27 20:05:39 发布

iqiqiya

最新推荐文章于 2020-07-27 20:05:39 发布

阅读量637

点赞数

分类专栏：我的逆向之路我的CTF之路 ------reversing.kr 文章标签：【reversing.kr逆向之旅】Ransomware的w Ransomware writeup reversing.k Reverse

本文链接：https://blog.csdn.net/xiangshangbashaonian/article/details/84110506

版权

这篇博客详细记录了一次Ransomware的逆向分析过程，首先通过Exeinfope检测到UPX壳并进行脱壳，然后在IDA中发现并NOP掉花指令。在修复函数调用和堆栈平衡后，分析了程序调用，发现空函数sub_401000。通过对比加密和正常EXE文件的PE结构，找出加密Key，用Python脚本获取Key值"letsplaychess"，最终解密得到原始文件origin.exe。解密后，可能需要解决缺失的DLL问题。

摘要由CSDN通过智能技术生成

Exeinfope查到有UPX壳

先使用脱壳机进行脱壳

脱壳后载入IDA 发现直接显示太大无法展示

空格转为文本视图可以很明显知道下面红框中的就是一段段花指令

查看最后结束的位置就在0x0044A775

直接IDC脚本将他们都NOP掉

auto i,start = 0x004135E9,end = 0x0044A775;
for(i=start;i<end;i++){
PatchByte(i,0x90);}
Message("\n" + "OK\n");

接着可以发现函数sub_401000也有一段花指令

依然是找到起始和末尾地址 IDC脚

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iqiqiya

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【reversing.kr逆向之旅】Twist1的writeup

iqiqiya的博客

01-19

596

将程序载入OllyDbg 直接F8单步的话会直接停止运行我们先可以单步一次使用ESP定律接着单步一步一步走就可以遇到向上的跳转在他的下一行按F4就可以走到这里如下图所示将要跳向OEP 来到OEP后直接右键OllyDump脱壳两种方式都保存下发现方式二可以成功运行空白区域右键-->中文搜索引擎...

ransomware(假的勒索病毒)逆向分析

iqiqiya的博客

08-22

2783

0x01:PEiD查壳无壳运行之后也没中毒无毒 0x02: 运行一下看看可用的只有一个输入框和一个按钮(Decrypt) 这里可以通过Restorator进行分析随意输入123456789 点击Decrypt 弹出对话框看到关键点一个是触发的MessageBox （通过下API断点）一个是关键字符串 Wrong,The passwor...

2 条评论您还未登录，请先登录后发表或查看评论

Reversing.kr-Ransomware

宗泽的博客

08-07

414

打开后，发现是乱码，这是个悲伤的故事。。再查一下壳，有壳，直接上脱壳机，可以把壳给脱掉，接着放进IDA里，发现还不太行，F5不管用了，ida提示文件太大，没法反汇编。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190807164903278.png 仔细看一下主函数，有大量的无用的代码，花指令。直接写IDC脚本给nop掉，结果还是不行，再找找...

170929 逆向-Reversing.kr（Ransomware）

whklhhhh的博客

09-29

817

1625-5 王子昂总结《2017年9月29日》【连续第362天总结】 A. Reversing.kr-Ransomware B. Ransomwarereadme提示解密文件，运行一堆乱码，估计可能是韩文吧查壳发现有UPX 用ESP定律手脱下来以后拖入IDA发现main函数块巨大，反编译会一直等待拖入OD进行跟踪，发现在exit前，位于44ab75的call会飞跟进去以后是

reversing.kr学习之路-ransomeware

diaojian3887的博客

08-16

2267

ransomeware - writeup 题目来源 http://reversing.kr 题目知识点：upx + 花指令 + 堆栈不平衡 + exe特征码提取key 前言文章只是记录一下自己在reversing.kr上学习CTF逆向的经历，如果文中出现什么技术错误，烦请各位大佬，在评论中指正。本人技术刚刚入门，菜鸟一枚，大佬勿喷啊～正文首先在网站上下载附件，得到一个...

171010 逆向-Reversing.kr（PEPassword）

whklhhhh的博客

10-11

843

1625-5 王子昂总结《2017年10月10日》【连续第375天总结】 A. reversing.kr B.PEPassword给了两个文件，分别是加密过的和原版的运行原版的发现弹窗Password是?????? IDA能看到这个password的运算，稍微跑一下就出来了不过当然它不是真正的password啦╮(╯_╰)╭运行Packed.exe出现一个输入框，没有按钮 ID

【reversing.kr逆向之旅】Easy ELF的writeup

iqiqiya的博客

11-01

816

这道题直接IDA Pro静态分析就可以 shift+f12就可以找到关键字符串图形视图下也可以看清楚反汇编main() int __cdecl main() { write(1, "Reversing.Kr Easy ELF\n\n", 0x17u); sub_8048434(); // 接收我们的输入...

【reversing.kr逆向之旅】Music Player的writeup

iqiqiya的博客

11-01

651

VB写的程序且没有加壳运行看看还真是一个音乐播放器但是只能播放一分钟下面三个按钮据我分析分别就是播放，暂停，重新开始播放当滑动到1分钟时就会停止并弹窗1？ ????? 结合ReadMe中所述必须跳过若干个在1分钟的检查才可以看到flag OD载入分析 F9运行播放到1分钟时弹窗这时候可以看到程序调用了rtcMsgBox...

【reversing.kr逆向之旅】Replace的writeup

iqiqiya的博客

11-10

814

无壳 vc++程序载入Olydbg动态调试分析就好可以通过下API断点GetWindowTextW来找到关键代码因为它就是用来捕获我们的输入的随意输入(这里可以发现只可以输入数字长度什么的倒是没有限制) 就像下面一样可以看到地址很大在系统领空 user32.dll 所以这里不用管上面循环过去之后就来到了这里可以看到成功的标志Correct...

【reversing.kr逆向之旅】Position的writeup

iqiqiya的博客

11-15

752

有提示是说flag就是当Serial为76876-77776时的Name 有多解提示有四位且最后一位是p ReversingKr KeygenMe Find the Name when the Serial is 76876-77776 This problem has several answers. Password is ***p PEiD查不到壳于是ID...

【reversing.kr逆向之旅】Direct3D FPS的writeup

iqiqiya的博客

11-15

676

Direct3D FPS 看到这个名字就感觉会不会是个射击游戏然后运行果然是玩了一会儿看到有个几个小胖人打不死走过去就Game Over了 PEiD看到使用C++写的直接载入IDA 分析字符串很明显与Game Clear！就是与失败相对应的成功双击查看交叉引用然后F5得到 int sub_403400() { int i;...

reversing.kr刷题笔记

Sanky0u的博客

07-27

2583

去年9月份为了提高逆向能力刷了一段时间reversing.kr，今天看到笔记的时候挺有成就感的，以后也要继续多多做题整理笔记呀！ Easy Unpack Flag：00401150 通过不断跳jmp循环，最终运行到这个位置，开头55 8B 明显是函数开头定位到OEP 00401150 查栈知道跳转到函数头的代码如下： Replace Flag: 2687109798 这个题目很有意思，开始以为做不了，跳来跳去的以为要改代码，后来发现就是利用跳来跳去的机制混淆，最后利用两次call，给一个地址的连续两个

Reversing.kr EASY-UNPACK

宗泽的博客

06-09

353

无论是OD的提示，还是题目的提示，都表明这是个有壳的程序,同时可以知道，我们的任务就是找到OEP的地址。放入工具试一下，确实有壳，但却不知道是什么壳。下面，脱壳技巧上阵. 一，单步调试法一步一步来，最终会看到熟悉的代码这个地址就是最终的flag了。 flag：00401150 二，ESP定律载入程序，F8一下，看见ESP，EIP同时是红的，在寄存器窗口的ESP处右键，选择‘在数...

170925 逆向-Reversing.kr（Replace）

whklhhhh的博客

09-25

1223

1625-5 王子昂总结《2017年9月25日》【连续第358天总结】 A. Reversing.kr-Replace B.Replace先查一波壳，还好没有运行，是一个GUI程序，下面Label框中显示Wrong！，说明没法找Msgbox了呢随便输入后点Check，就停止运行了……嗯？这么暴力的，输错就GG吗惯例拖入IDA，WinMain中只有构造窗口的DialogBoxPara

reversing.kr 前9题

皮三宝好菜的博客

01-04

498

reversing.kr 前9题近日写了reversing.kr的前九题。。。真的是一题比一题恶心。。。写个wp吧，最近期末复习了（慌得一批）。。。 EasyCrack 这网站凡是带上（easy）的都不怎么难简要带过吧拖进ida 可以看到字符串比较答案就是Ea5yR3versing EasyKeygen //那啥，一开始没看到这东西还有个readme。。。害得我搞了半天没搞懂怎么写。。...

Reversing.kr 全解记录

BadRer的博客

08-28

2783

前言此篇文章记录了我对Reversing.kr网站的解题过程，有的直接看的wp，有的自己复现了一遍。先开个头，后续会慢慢补充。题解 0x0 Easy_CrackMe Ea5yR3versing 0x1 Easy_KeygenMe K3yg3nm3 0x2 Easy_UnpackMe 00401150 0x3 Music_Player LIstenCare 这几题比...

[RE]Reversing.Kr的Easy ELF

PepperYouth的博客

11-19

545

Easy ELF

【jarvisoj刷题之旅】逆向题目爬楼梯的writeup

iqiqiya的博客

09-11

1316

先放到模拟器中运行一波难道是得一直点吗作为懒人的我可不答应于是APKIDE反编译用jd_jui直接看java源码由java代码可知我们只要直接让“爬到了，看FLAG“这个按钮可点击即可那么让他可被点击只需要改这里就好分析可知后面的传值是与v5相关的那么只要将他赋值1即可改过之后发现APKIDE与Androi...

每日一题#10-22 Ransomware

dydxdz的博客

10-22

449

Ransomware0x01 查壳run.exe拖入exeinfo发现UPX壳 0x02 手动脱壳（大家有什么好的脱壳器求分享！）载入程序 F8单步执行，当右侧寄存器窗口中esp寄存器第一次变化时停下（就是下一句了）右键点击esp,选择数据窗口跟随在左下角数据窗口中，右键点击0019FF64这个地址，选择断点->硬件访问->Word 执行程序（F9），程序将在断点处停下

reversing:逆向工程揭密