这下 web、app、exe 逆向都全了
1、抓包
通过 wireshark 对程序进行抓包
可以看到数据里面存在我们的账号密码、ip地址、mac地址等信息,最后的乱码就是签名信息。确定了逆向目标
2、定位参数加密
通过cheat engine 扫描电脑内存,
这里有个小技巧,将wireshark抓包内转转成hex,然后赋值hex在内存里搜索,用乱码直接搜文本搜不到
找到目标exe所在的内存段,然后搜索查看内存疑似地址,右键可以监控谁改写了这段内存。
发现是一个windows系统的c运行库改写,然后通过hook dll的所有内存操作赋值相关的函数,打印堆栈,大海捞针,挨个看
3、静态分析+动态分析
IDA+ binary ninja 反编译 exe 程序,查看目标方法的代码
一顿分析代码发现是真的看不懂,还调了一堆外部引入的方法。。。
中间尝试了 ida trace function等各种方法尝试直接定位到目标加解密方法,全是sub匿名函数而且这个treace还进不去其他的dll,实在分析不下去了。
啥都看不懂之后开始尝试动态分析。动态分析过程中发现有反调试
通过 patch 或者 hook 过掉反调试后,单步运行一直调就完了
最后,因为不会用ida查看变量的值,错过了好几次加密点,感谢 AI 救我狗命
原文始发于微信公众号(逆向成长日记):某exe逆向
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论