Re
文章平均质量分 90
GTZ_Crow
一个在逆向道路上前进的人
展开
-
Android逆向-2016Tencent ctf比赛第一轮第一题详细分析
一、题目详细说明:Tencent2016A是一个简单的注册程序,见附件,请写一个注册机,点击Check即可显示是否通过, Name和Code可以手动输入,也可以通过扫描二维码输入。要求:注册机是KeyGen,不是内存注册机或文件Patch。 注册机必须可以运行在Android系统上, 可以是命令行程序,也可以是apk。 将编译好的注册机和分析文档,源代码一起上传。 提交方式:将分析文档,注册机工程源代码和编译好的注册机打包后提交。(无说明文档,视为无效方案)。 不得在论坛或群等场所讨原创 2021-04-22 17:35:20 · 489 阅读 · 1 评论 -
逆向脱壳-压缩壳脱壳单步跟踪方法
1、压缩壳原理所有的文件在存储中都是以0和1的形式存在的。比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长,但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压原创 2020-12-03 11:59:46 · 890 阅读 · 0 评论 -
逆向脱壳-fsg手动脱壳
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件:首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为:对加完fsg壳之后的程序进行查壳,显示为:可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入:在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时原创 2020-11-17 09:34:27 · 673 阅读 · 0 评论 -
逆向ctf_2020湖湘杯Re_02
一、基础分析把拿到的题目解压,将easyre.exe文件放入exeinfope(PEID也行)中进行查壳识别:清楚明了,没壳。首先,运行下easyre.exe文件看看什么效果:从查壳过程可以看到是32为程序。接下来进行静态分析,放入IDA32位中看看:发现没有明显的入口函数(main()),结合上一步在IDA中搜索Input your flag:字符串,得到:找到关键地方后,尝试对代码进行F5反汇编操作,发现:目前为止,就可以结合IDA静态调试配合上OD动态.原创 2020-11-05 23:10:25 · 650 阅读 · 1 评论 -
逆向ctf-2020湖湘杯Re_03
样本链接:https://pan.baidu.com/s/14o1QOjYVtOspZd9koT4JCg提取码:jwrp一、获取题目压缩包,解压后发现是一个为ReMe.exe的可执行文件,但是奇怪的是在exeinfope中查询结果为:很明显了,不是PE文件,看图标猜测为python打包的exe文件。既然如此就对exe文件进行反编译操作,因为是使用pyinstaller生成的exe文件,所以对于python打包的exe文件反编译操作流程为,首先下载pyinstxtractor.py文件并放到..原创 2020-11-03 22:15:21 · 1267 阅读 · 0 评论 -
逆向ctf-婉若游龙
一、题目介绍题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为CTFHUB用户的序列号。题目资源链接:https://pan.baidu.com/s/16ySHvatanvHf07t71sECJQ提取码:0id0二、解题过程先将得到的程序运行起来康康:可以看出软件有两个button,一个为Check Hardcoded,一个为Name/Serial Check。尝试输入并点按钮在Hard Coded中输入admin结果显示为please tr...原创 2020-10-11 20:13:14 · 363 阅读 · 0 评论 -
逆向ctf-亦步亦趋
一、题目来源介绍题目来源于看雪论坛CTF题库->题目要求为: 本题Flag值为123456用户的序列号。二、解题过程万事不要慌,先把软件运行起来康康:哟呵!这是需要破解的节奏呀!!!由于是exe文件,首先使用exeinfope检查是否存在壳的现象:查壳工具表明,软件不存在加壳操作。从题目查找序列号可以了解到,解题方法相当于破解该软件,那就上道具,开启OD整起来,一路F8干就完事了。遇到弹窗不要慌(因为题目要求123456用户序列号,所以Username就是...原创 2020-10-09 15:40:31 · 630 阅读 · 1 评论 -
逆向ctf-z3
一、z3.exe运行效果二、使用exeinfope查壳工具看是否加壳:结果显示为无壳,那就简单了。既然是64位,那就用IDA64位进行查看,找到主函数F5反汇编得到:int __cdecl main(int argc, const char **argv, const char **envp){ __int64 v3; // rdx@1 __int64 v4; // rdx@1 __int64 v5; // rdx@3 int v7; // [sp+20h] [bp-原创 2020-10-06 21:11:28 · 868 阅读 · 1 评论