摘要:
Hideit 经分析过程中感觉有点像,内存直接加载并运行了一个PE文件,不过并未仔细看。根据控制太输出输入等特征,猜测应该是调用标准库IO进行输出的,可以直接在标准库函数内下一系列断点,发现最终可以在scanf内部段下来,跳出scanf函数后就直接进入加密函数了。 第一次输入是一个xtea加密验证, 阅读全文
摘要:
press 直接调试黑盒分析算法输入输出,发现下一个字节的依赖于上一个字节来确定。可以直接将press程序作为一个输入输出的模块,从第一个字节开始枚举比对密文,匹配再进入下一个字节。以下代码需要在指定位置下断点调试,这个是为了让数据输入输出同步,否则会有部分字符错误。 # encoding=utf- 阅读全文
摘要:
不知道是博客园抽风了,还是我的博客的前端解析出了问题。将就看图片吧。 Hello 核心校验在native层,主要为一个异或和一个位交换运算。 将v7和密文提取出来解密即可。 key = [ 0x33, 0x30, 0x38, 0x32, 0x30, 0x32, 0x65, 0x34, 0x33, 0 阅读全文
摘要:
ROR 二进制位线性变换,直接上z3。(不知道为什么,python脚本被压缩去掉空格了,各位将就看图片吧。) from z3 import * box = [ 0x65, 0x08, 0xF7, 0x12, 0xBC, 0xC3, 0xCF, 0xB8, 0x83, 0x7B, 0x02, 0xD5 阅读全文