红包题 武穆遗书

admin 2022年1月5日22:52:15CTF专场评论11 views636字阅读2分7秒阅读模式

>

>

红包题 武穆遗书

shenshuoyaoyouguang

upx壳

脱壳过程
红包题  武穆遗书
调试器载入
红包题  武穆遗书
向下拉,找到这种jmp 后面都是0000 的代码,下断 这个jmp 过后就是oep
红包题  武穆遗书
使用x64dbg自带的工具,脱壳
红包题  武穆遗书
红包题  武穆遗书
红包题  武穆遗书
最后会得到dum_SYC结尾的文件,打不开没关系,反正已经脱过壳了,可以直接拉到ida

ida分析部分
红包题  武穆遗书
不能确定还有没有其他的反调试,直接动态调试试试
找到main函数,尝试nop代码
红包题  武穆遗书
发现可以直接运行到这边,nop,得到flag
红包题  武穆遗书
ce也可以,只是当时没有想到,后来群里的师傅讲了
红包题  武穆遗书
反调试部分分析
第一个函数
红包题  武穆遗书
peb 了解过,但想不到这个(学艺不精)
找到一篇帖子https://bbs.pediy.com/thread-202255.htm
红包题  武穆遗书
红包题  武穆遗书
用到两个

第二个函数
红包题  武穆遗书
原来还有未公开的api
i了i了https://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html
红包题  武穆遗书
第三个函数
红包题  武穆遗书
f5失效,看汇编
红包题  武穆遗书
fs[0] 好像也和teb 有关

这个帖子很详细 我现在的水平看不懂
https://bbs.pediy.com/thread-9023.htm

第四个
红包题  武穆遗书
哇,这是啥,完全看不懂啊
https://blog.csdn.net/yuzl32/article/details/5383542
很多新东西,虽然看不懂

第五个
红包题  武穆遗书
win32学的不是很好,溜了溜了

算法分析
大数组???
下辈子再见


fgfxf

进程监控了各大调试器,却忘记了CE游戏机


fgfxf

下次搞一个IDA混淆让大家玩玩


特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月5日22:52:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红包题 武穆遗书 http://cn-sec.com/archives/719431.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: