随笔分类 - 逆向之旅
摘要:1. 分析文件类型,是否加壳 将文件扔进exeinfope中查看,发现是无壳的32位可执行程序 2. 使用IDA对文件进行分析 此处的main函数代码较为简单,其逻辑为接收输入,用 sub_401080 函数对其进行处理,处理后的结果若与byte_40E0E4 处字符串相同,则该输出即为flag。所
阅读全文
摘要:拿到一份exe可执行程序,按照下面步骤进行解题 1. 分析文件是否加壳等 将文件扔进exeinfope,发现为32位无壳的exe文件 2. 使用IDA进行分析 查看字符串窗口是否有敏感字符串 [Shift + F12],但是除了can you find me? 以外也没有什么其他发现 执行该程序,也
阅读全文
摘要:1. 加载目标文件,选择调试器 使用IDA打开目标文件。使用菜单项上的"Debugger",单击"Select Debugger",再根据当前的文件类型选择合适的调试器。我这里调试exe文件时一般使用 Local Windows debugger 或 Remote Windows Debugger。
阅读全文
摘要:查看程序信息 扔进exeinfope中查看 可以看出,该程序为32位有upx壳的文件,所以我们需要先进行脱壳,直接使用 upx -d xxx.exe即可 用IDA32进行静态分析 1. main函数 可以直接看到main函数,分析其流程,其实就是先输入input_code,接着用 sub_40100
阅读全文
摘要:一、 判断是否文件类型、是否加壳等 扔进exeinfope里面查看一下即可,此处无壳 二、 静态分析 扔进IDA64中,分析代码 1. 查看所有字符串,寻找突破点 从上图中可以看到一些特殊字符串例如"flag{", "pass"等 2. 去看看引用了这个字符串的函数 在上图中,我们看到了main函数
阅读全文
摘要:解题过程 拉到exeinfo中查看信息 扔到 IDA64 中去,[shift + F12] 查看所有字符串 跟过去看看其引用函数 看见上面有一堆putchar(),看看其到底输出了怎样的数据?因为这里其他的东西并没有看出什么用 从上图发现有两部分数据,一部分是刚刚的输出welcome,另一部分不知道
阅读全文
