【reversing.kr】ImagePrc 逆向分析

最新推荐文章于 2022-08-29 17:44:12 发布
最新推荐文章于 2022-08-29 17:44:12 发布
阅读量1.9k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyunfeng3/article/details/49791067
版权
博客通过使用OD动态调试,分析了reversing.kr上的ImagePrc程序,揭示了如何从调用栈找到messagebox地址,提取并恢复图片资源的过程,最终找到了flag。
摘要由CSDN通过智能技术生成

其实这类题目都要用OD做,动态调试能看到的东西更多,而且方便跳转到函数地址。

进入正题:

先测一遍有木有加壳

然后用OD打开。运行起来程序,点击check,按暂停,alt+k得到调用栈,推到程序调用messagebox的地址,这里是004013e1
这里写图片描述
往上拉,看到这个地方。获取了图片资源,我们把图片资源dump出来看下。
这里写图片描述
使用eXeScope来dump出图片数据,然后用python恢复出图片。
这里写图片描述
python代码如下


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Angel枫丨灬红叶
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Reversing.Kr ImagePrc

				
			

			

				

					s0il的博客
				

				

					04-14
					
					320
					
				

			

		

		

			
				
打开程序,可以进行画图类似于一个画图程序,猜测题目要求是画出某个图形之后进行对比,对比成功后获取flag。

                             

乱画一通后,点击check按钮,弹出消息框:

                 

看看WinMain之后,顺着Wrong消息框...

			
		

	



                

              
                



	

		

			

				
					
170926 逆向-Reversing.krImagePrc

				
			

			

				

					whklhhhh的博客
				

				

					09-26
					
					712
					
				

			

		

		

			
				
1625-5 王子昂 总结《2017年9月26日》 【连续第359天总结】  
A. Reversing.kr-ImagePrc 
B.ImagePrc首先查壳,运行发现是一个光秃秃的窗口,按一下Check按钮就弹窗”Wrong” 
拖入IDA查找字符串,锁定回调函数sub_401130 
在https://wiki.winehq.org/List_Of_Windows_Messages和http:

			
		

	



                


  
              

                


	

		

			

				
					
Reversing.kr -ImagePrc

				
			

			

				

					宗泽的博客
				

				

					07-25
					
					171
					
				

			

		

		

			
				
打开文件,他是空白的。点两下,可以画上东西,点Check后,会弹窗,“wrong!”


可以猜一下,他需要画对某种图形或者点到某个点,就可以变成“correct”
拖进IDA里,找到主函数,F5查看伪代码。

这里调用了一大堆API,而调用这些API后,用来画了个图,关键函数sub_401130;
点进去看看,
int __stdcall sub_401130(HWND hWnd, UINT M...

			
		

	





	

		

			

				
					
【reversing.kr逆向之旅】ImagePrc的writeup

				
			

			

				

					iqiqiya的博客
				

				

					11-10
					
					549
					
				

			

		

		

			
				
看到这道题有点懵  运行后只有一个Check按钮  中间是空白的  不知道什么鬼(最后才知道是个绘图板)



PEiD载入  发现还是没壳  Vc++6.0编写的程序



IDA载入进行分析    首先还是Shift+F12    查找关键字符串



双击



再双击   接着F5看伪代码    看不大懂   不过可以搜下bmiHeader





可以知道是和bmp位图有关

Find...

			
		

	



		

			
		



	

		

			

				
					
Writeup of Imageprc(reverse) in reversing.kr

				
			

			

				

					cossack9989的博客
				

				

					02-19
					
					528
					
				

			

		

		

			
				
做这道题……收获是……了解了几个WINAPI吧0x00 Program Logic首先运行程序,发现出现一个空白画板,用光标作图,再点击'Check'Button,弹窗Wrong把程序扔进IDA,观察代码逻辑。首先看WinMain函数int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine...

			
		

	





	

		

			

				
					
【reversing.kr逆向之旅】Ransomware的writeup

				
			

			

				

					iqiqiya的博客
				

				

					11-15
					
					636
					
				

			

		

		

			
				
Exeinfope查到有UPX壳



先使用脱壳机进行脱壳

脱壳后载入IDA   发现直接显示太大无法展示



空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令



查看最后结束的位置   就在0x0044A775



直接IDC脚本将他们都NOP掉


auto i,start = 0x004135E9,end = 0x0044A775;
for(i=start;i&...

			
		

	





	

		

			

				
					
Reversing.kr 全解记录

				
			

			

				

					BadRer的博客
				

				

					08-28
					
					2778
					
				

			

		

		

			
				
前言

此篇文章记录了我对Reversing.kr网站的解题过程,有的直接看的wp,有的自己复现了一遍。 
先开个头,后续会慢慢补充。

题解



0x0 Easy_CrackMe

Ea5yR3versing

0x1 Easy_KeygenMe

K3yg3nm3

0x2 Easy_UnpackMe

00401150

0x3 Music_Player

LIstenCare 
这几题比...

			
		

	





	

		

			

				
					
【reversing.kr】Easy Keygen逆向分析

				
			

			

				

					wintersun的地带
				

				

					10-30
					
					1722
					
				

			

		

		

			
				
Date:2015年10月30日 11:47:57
  
  Author:WinterSun
  
  Location:HangZhou
这是reversing.kr上的一题题目,最近在刷这上面的题目,首先对程序进行IDA静态分析。得到如下代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
  signed

			
		

	





	

		

			

				
					
ImagePrc

				
			

			

				

					weixin_42980240的博客
				

				

					08-25
					
					270
					
				

			

		

		

			
				
查壳,没有壳。 
用ida打开,框架图 
 
挨个查了查


  lpWindowName:lpWindowName指向窗口名。 
  GetStockObject:索预定义的备用笔、刷子、字体或者调色板的句柄。 
  LoadCursor:仅当IpCursorName参数指向一个光标资源时,该函数才返回一个有效的光标句柄。 
  LoadIcon:加载一个图标资源 
  RegisterClas...

			
		

	





	

		

			

				
					
【甄选靶场】Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)

				
			

			

				

					人间体佐菲的博客
				

				

					08-29
					
					1786
					
				

			

		

		

			
				
Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)

			
		

	





	

		

			

				
					
170927 逆向-Reversing.kr(Position)

				
			

			

				

					whklhhhh的博客
				

				

					09-27
					
					627
					
				

			

		

		

			
				
1625-5 王子昂 总结《2017年9月27日》 【连续第360天总结】  
A. Reversing.kr-Position 
B.Position惯例先查壳 
读Readme可以知道是一个检查Name-Serial的程序,我们需要找到对应Serial为”76876-77776”的Name由于是个GUI程序,只能依靠API或者字符串来定位事件 
IDA中没有找到对应的字符串,很是神奇 
在OD中

			
		

	





	

		

			

				
					
android动态逆向分析工具zjdroid,android 图片双击放大倍数的算法

				
			

			

				

					weixin_36047753的博客
				

				

					05-25
					
					172
					
				

			

		

		

			
				
图片双击放大倍数和图片大小、显示图片的view大小,及图片当前的scale大小均有关系。为了避免图片放大过大,设置了一个放大倍数的最大限制SCALE_LIMIT,目前该值为4.具体算法如下所示:图片的宽和高分别记为:imageW imageH显示图片的view宽和高分别记为:viewW viewH几个重要的比例记为:scale_1 = viewW / imageWscale_2 = viewH /...

			
		

	





	

		

			

				
					
170923 逆向-Reversing.kr(MusicPlayer)

				
			

			

				

					whklhhhh的博客
				

				

					09-24
					
					1155
					
				

			

		

		

			
				
1625-5 王子昂 总结《2017年9月23日》 【连续第356天总结】  
A. Reversing.kr-Music Player 
B.  
ReadMe显示,现有程序只能播放1分钟,我们需要绕过这个显示从而得到flag,程序有多次检测。从图标和提供的msvbvm60.dll可以知道是VB写的 
OD加载发现从ntdll以后F9就直接飞了 
用IDA加载也空空如也,只有三个子函数call d

			
		

	





	

		

			

				
					
171019 逆向-Reversing.kr(MetroApp)

				
			

			

				

					whklhhhh的博客
				

				

					10-20
					
					828
					
				

			

		

		

			
				
1625-5 王子昂 总结《2017年10月19日》 【连续第384天总结】  
A. reversing.kr  
B.MetroApp这次的逆向处理了很多麻烦,学到了不少关于MetroApp的东西,有没有用呢……囧首先解压得到README,两个文件夹,一个ps1脚本,一个appx安装文件,一个cer证书README中说明flag是全大写英文和数字,就没了查了一下,用自带的PowerShell可以

			
		

	





	

		

			

				
					
【reversing.kr】Replace逆向分析

				
			

			

				

					wintersun的地带
				

				

					10-30
					
					1635
					
				

			

		

		

			
				
Date:2015年10月30日 17:13:11
  
  Location: HangZhou
先对程序进行一次静态分析,发现目标地址不可达到:
.text:00401071 ; ---------------------------------------------------------------------------
.text:00401071
.text:00401071 loc

			
		

	





	

		

			

				
					
reversingkr --music player

				
			

			

				

					菜鸡的博客
				

				

					01-20
					
					243
					
				

			

		

		

			
				
萌新第一次写,见谅。

这个网址上的题对于我这种lowbee来说大部分都很难,我还是记录一下自己的历程(除了easy开头的。。。。)。不说废话,直接上解题思路!

 

题目要求我们让这个播放器可以放歌超过一分钟,那我们先运行一次。,结果如下:(果然到1分钟就卡住了,不过发现这里有个1)



拖入od分析并搜索字符串



注意这里有个1!我们点进去看看



往上翻可以看见一个可以跳过那个1的...

			
		

	





	

		

			

				
					
【reversing.kr逆向之旅】Music Player的writeup

				
			

			

				

					iqiqiya的博客
				

				

					11-01
					
					650
					
				

			

		

		

			
				
VB写的程序  且没有加壳



运行看看   还真是一个音乐播放器   但是只能播放一分钟

下面三个按钮据我分析  分别就是播放,暂停,重新开始播放



当滑动到1分钟时就会停止  并弹窗1? ?????



结合ReadMe中所述   必须跳过若干个在1分钟的检查   才可以看到flag

OD载入分析   F9运行   播放到1分钟时弹窗   这时候可以看到程序调用了rtcMsgBox...

			
		

	





	

		

			

				
					
Writeup of love(reverse) in BugKu

				
			

			

				

					cossack9989的博客
				

				

					12-08
					
					1519
					
				

			

		

		

			
				
首先,下载reverse_3.exe,扔到IDA pro (32bits),打开之后shift+F12查找字符串,得如下结果


跟踪please enter the flag,进入主函数sub_4156E0,调出伪代码




忽略sub_411127()函数。
首先发现strncmp中str2为’e3nifIH9b_C@n@dH’应为正确flag加密后的字符串。
二次加密部

			
		

	





	

		

			

				
					
reversing:逆向工程揭密

					
最新发布

				
			

			

				

					10-25
				

			

		

		

			
				
逆向工程是一种通过对已有产品、软件或技术进行分析、研究和逆向推导,以揭示其设计、功能和运行原理的方法。它是为了获取对原产品的理解,从而进行改进、研究或模仿而进行的活动。  逆向工程使用各种技术和工具来...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值