摘要:
查壳 有壳,脱了 进入IDA: 会发现我们看不了伪代码,那么看看爆在哪了: 这有标红的,那么把这里改了(IDA改的有点麻烦,建议用OD贼快)这里注意哦,报错点上边还有一个jnz跳转指令,这个是指向报错点的,那么要不要改呢?小小的期待一下: 接下来演示怎么改,这里注意这个call占了很多个字节,我们只 阅读全文
摘要:
#日常查壳: ##32位,运行看看: ####(有点嚣张,但不多),任意输入退出。 ###进IDA看主函数: ####进入主函数后,首先是读入一个字符串,然后是对该字符串进行sub_401080方法加密,最后是对比。 ####那么我们跟进方法,看看是什么加密类型: ####第一眼下去还多了一个方法s 阅读全文
摘要:
#查壳: ####32位,有个小壳,怎么办,脱了呗,还能这么办(方法见前文)https://www.cnblogs.com/TFOREVERY/p/17366210.html ###脱壳后,进入IDA找主函数: ####脸上就是flag{Just_upx_-d}收工。 阅读全文
摘要:
#查壳: ###64位,先看看运行有问题吗: ####任意输入给你弹了一个wrong ###进IDA看看: ####解释:输入一个字符串,要满足字符串的长度为33,不然就报错。接下来是在输入的字符串中拿出特定的字符,进行异或后得到一个新的字符串,最后与特定的字符串对比。 ####这样看来,我们先看要 阅读全文
摘要:
#查壳: ##64位,进IDA找主函数: ####挺长的,慢慢来吧,先找正确的判断输出:涉及到了v11,又涉及到到方法sub_400E44,跟进方法看看: ####出现位运算,和aAbcdefghijklmn,跟进看看: ####标准base64编码,那就是说v11是根据v18base64加密了10 阅读全文
摘要:
#下载回来发现有两个文件,先看另一个文件 ####一串数据,(我调整过了的哈不要在意这些细节)看不出有啥用。 #依旧查壳: ##64位进IDA找主函数: ####解释一下函数内容:大概是讲打开一个“flag”的文件,读了一部分文件(flag没跑了),然后进行加密(奇数位一种加密,偶数位又是另一种加密 阅读全文
摘要:
#查壳: ##有个壳,脱一下,upx脱壳方法讲过了,(这里注意,低版本的upx是脱不掉壳的,换高版本哈)可以去:https://www.cnblogs.com/TFOREVERY/p/17366210.html ####不赘述了:64位进IDA老思想进主函数: ###对输入flag进行一个方法加密s 阅读全文
摘要:
#查壳(养成习惯了,不管有没有用都要来那么一下): ##发现没啥,进IDA瞅瞅: ####给了一堆字串,且没有主函数,那么我们退出IDA,运行一下: ###checkflag,那么必定有方法去检查这玩意:继续找F12: <!DOCTYPE Html /> <html> <head> <title>F 阅读全文