摘要: 文件被加了vmp,静态分析难度很大 运行程序 发现是mfc框架程序,根据提示应该在控件里去找,可以用xspy进行分析 发现窗口句柄中有一串密文944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b,并且发现一条特殊的onMsgOnMsg:0464,func= 阅读全文
posted @ 2024-11-12 16:34 写忧 阅读(15) 评论(0) 推荐(0) 编辑
摘要: Writeup IDA打开查看,在main函数使用F5反编译是有问题的,在汇编代码中,也能看到很多未反汇编的数据,显然代码做了混淆。 沿着main函数往下看到混淆部分代码, 1.在0x4116C8出使用call跳转到函数sub_4116CE,但sub_4116CE显然不是正常的函数结构。 2.函数s 阅读全文
posted @ 2024-01-22 23:56 写忧 阅读(69) 评论(0) 推荐(0) 编辑
摘要: -不定期更新,问就是没啥用 1.base64自定义编码表解码 import base64 yourTable=""yourstr="" d=base64.b64decode(yourstr.translate(str.maketrans(yourTable,"ABCDEFGHIJKLMNOPQRST 阅读全文
posted @ 2023-12-18 23:09 写忧 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 1.前言 2.安装 安装python包pywifi,由于依赖comtypes,使用的时候还得装上comtypes。 pip install pywifipip install comtypes 3.教程文档 # 引入pywifi库及所带常量库 import pywifi from pywifi im 阅读全文
posted @ 2022-08-07 09:53 写忧 阅读(610) 评论(0) 推荐(0) 编辑
摘要: Writeup IDA打开查看,可以看到使用了OLLVM中的一种代码保护方式——控制流平坦化。在IDA反汇编上显示出来就是使用while+switch的形式,经过平坦化之后的代码块大部分整齐地堆积在程序流图的下方,而这部分代码就是真正有意义的代码块,称之为相关块。 具体脚本编写思路可参考:https 阅读全文
posted @ 2021-11-17 15:45 写忧 阅读(310) 评论(0) 推荐(0) 编辑
摘要: Writeup IDA打开main函数如下 v3就是条件判断的关键函数sub_400806,自定顺序执行以下一系列函数 梳理一下代码,可以知道大致逻辑如下: #include<stdio.h> int main(){ unsigned char a16=0,a17=0; char input[]=" 阅读全文
posted @ 2021-10-31 16:03 写忧 阅读(333) 评论(0) 推荐(0) 编辑