- 博客(16)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Android逆向-2016Tencent ctf比赛第一轮第一题详细分析
一、题目详细说明:Tencent2016A是一个简单的注册程序,见附件,请写一个注册机,点击Check即可显示是否通过, Name和Code可以手动输入,也可以通过扫描二维码输入。要求:注册机是KeyGen,不是内存注册机或文件Patch。 注册机必须可以运行在Android系统上, 可以是命令行程序,也可以是apk。 将编译好的注册机和分析文档,源代码一起上传。 提交方式:将分析文档,注册机工程源代码和编译好的注册机打包后提交。(无说明文档,视为无效方案)。 不得在论坛或群等场所讨
2021-04-22 17:35:20
485
1
原创 Android逆向-apk文件打包流程
apk打包流程可以分为7个部分:1、通过AAPT将资源文件(Application resource)转换为R.java(资源目录[索引文件])和Compiled resources文件。2、将.aidle File的接口函数通过AIDL Tool生成.java类的文件。3、将源码(Application Source Code)、R.java和AIDL的java接口文件通过Java Compiler编译器打包生成一个.class文件。4、将.class文件和第三方提供的.class通过..
2021-03-23 13:25:43
413
原创 段寄存器结构基础
(80386CPU)保护模式的特点:段机制和页机制(保护模式是保护硬件资源以及OS内核的作用)。1、段寄存器结构Segment{WORD Selector; //段选择子(可见)16位WORD Attributes; //段属性 (不可见)16位WORD Base; //段起始地址(不可见)32位WORD Limit; // 段大小(不可见)32位}段寄存器总结构96位,其中16位可见,80位不可见,80位不可见中存在64位数据有效。2、段寄存器只能...
2021-03-18 11:17:58
950
原创 逆向脱壳-压缩壳脱壳单步跟踪方法
1、压缩壳原理所有的文件在存储中都是以0和1的形式存在的。比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长,但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压
2020-12-03 11:59:46
879
转载 Hacker编程系列-远线程注入
转载:http://blog.csdn.net/whatday/article/details/8975930一、远程线程注入基本原理远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者相对起来更加隐蔽,也更难被杀软检测
2020-11-18 08:49:51
448
原创 逆向脱壳-fsg手动脱壳
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件:首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为:对加完fsg壳之后的程序进行查壳,显示为:可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入:在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
2020-11-17 09:34:27
660
原创 密码系列-Base32
Base32加密算法一、什么是Base32Base32编码是使用32个可打印字符(字母A-Z和数字2-7)对任意字节数据进行编码的方案,编码后的字符串不用区分大小写并排除了容易混淆的字符,可以方便地由人类使用并由计算机处理。二、Base32算法原理Base32将任意字符串按照字节进行切分,并将每个字节对应的二进制值(不足8比特高位补0)串联起来,按照5比特一组进行切分,并将每组二进制值转换成十进制来对应32个可打印字符中的一个。由于数据的二进制传输是按照8比特一组进行(即一个字节),
2020-11-15 13:00:27
3688
原创 密码系列-Base16
Base16一、什么是Base16Base16编码就是将ASCII字符集中可打印的字符(数字0~9和字母A~F)对应的二进制字节数据进行编码Base16转换表为:二、Base16原理编码的方式:1.将数据(根据ASCII编码,UTF-8编码等)转成对应的二进制数,不足8比特位高位补0.然后将所有的二进制全部串起来,4个二进制位为一组,转化成对应十进制数.2.根据十进制数值找到Base16编码表里面对应的字符.Base16是4个比特位表示一个字符,所以原始是1个字节(8个比特位
2020-11-15 12:53:28
4102
原创 密码系列-Base64
Base64一、什么是Base64? 百度百科中对Base64有一个很好的解释:“Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法”。 什么是“可打印字符”呢?为什么要用它来传输8Bit字节码呢?在回答这两个问题之前我们有必要来思考一下什么情况下需要使用到Base64?Base64一般用于在HTTP协议下传输二进制数据,由于HTTP协议是文本协议,所以在HTTP协议下传输二进制数据需要将二...
2020-11-15 12:11:06
1038
原创 逆向ctf_2020湖湘杯Re_02
一、基础分析把拿到的题目解压,将easyre.exe文件放入exeinfope(PEID也行)中进行查壳识别:清楚明了,没壳。首先,运行下easyre.exe文件看看什么效果:从查壳过程可以看到是32为程序。接下来进行静态分析,放入IDA32位中看看:发现没有明显的入口函数(main()),结合上一步在IDA中搜索Input your flag:字符串,得到:找到关键地方后,尝试对代码进行F5反汇编操作,发现:目前为止,就可以结合IDA静态调试配合上OD动态.
2020-11-05 23:10:25
646
1
原创 逆向ctf-2020湖湘杯Re_03
样本链接:https://pan.baidu.com/s/14o1QOjYVtOspZd9koT4JCg提取码:jwrp一、获取题目压缩包,解压后发现是一个为ReMe.exe的可执行文件,但是奇怪的是在exeinfope中查询结果为:很明显了,不是PE文件,看图标猜测为python打包的exe文件。既然如此就对exe文件进行反编译操作,因为是使用pyinstaller生成的exe文件,所以对于python打包的exe文件反编译操作流程为,首先下载pyinstxtractor.py文件并放到..
2020-11-03 22:15:21
1254
原创 逆向ctf-婉若游龙
一、题目介绍题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为CTFHUB用户的序列号。题目资源链接:https://pan.baidu.com/s/16ySHvatanvHf07t71sECJQ提取码:0id0二、解题过程先将得到的程序运行起来康康:可以看出软件有两个button,一个为Check Hardcoded,一个为Name/Serial Check。尝试输入并点按钮在Hard Coded中输入admin结果显示为please tr...
2020-10-11 20:13:14
363
原创 逆向ctf-亦步亦趋
一、题目来源介绍题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为123456用户的序列号。二、解题过程万事不要慌,先把软件运行起来康康:哟呵!这是需要破解的节奏呀!!!由于是exe文件,首先使用exeinfope检查是否存在壳的现象:查壳工具表明,软件不存在加壳操作。从题目查找序列号可以了解到,解题方法相当于破解该软件,那就上道具,开启OD整起来,一路F8干就完事了。遇到弹窗不要慌(因为题目要求123456用户序列号,所以Username就是...
2020-10-09 15:40:31
625
1
原创 逆向ctf-z3
一、z3.exe运行效果二、使用exeinfope查壳工具看是否加壳:结果显示为无壳,那就简单了。既然是64位,那就用IDA64位进行查看,找到主函数F5反汇编得到:int __cdecl main(int argc, const char **argv, const char **envp){ __int64 v3; // rdx@1 __int64 v4; // rdx@1 __int64 v5; // rdx@3 int v7; // [sp+20h] [bp-
2020-10-06 21:11:28
862
1
原创 病毒海之旅-熊猫烧香分析1
一、 病毒简介“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失。)被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。二、病毒手动查杀首先,将还没有感染任务管理器显示出来
2020-10-03 19:21:55
538
1
转载 初识PE(PE文件格式及相关资料)
PE文件格式应用于所有32位Windows系统:Windows 9X, Windows NT,Windows 2000及Windows XP(Vista已经对PE格式进行了升级,也出现了PE64),而在MSDN 98中有PE的大量详细资料(按目录:MSDN Library Visual Studio 6.0 | Specification | Platforms | Microsoft Portable Executable and Common Object File Format Specificati
2020-09-28 15:13:51
496
反汇编python打包的exe文件-pyinstxtractor.py
2020-11-04
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人