逆向练习——[GUET-CTF2019]re

最新推荐文章于 2024-10-12 17:00:17 发布
原创 最新推荐文章于 2024-10-12 17:00:17 发布 · 655 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种针对UPX加壳程序的脱壳方法,并详细展示了如何使用专门工具完成脱壳过程,最后通过IDA分析脱壳后的程序并解决其中的谜题。

拿题先查壳,养成好习惯。
在这里插入图片描述发现有个UPX壳,先拿去虚拟机脱一下,发现脱不了。但是又看到
在这里插入图片描述
http://upx.sf.net进入这个网站下载一个UPX的脱壳工具,发现居然比虚拟机的还好使,主要可以在本机上运行。
在这里插入图片描述成功脱壳后加载IDA
通过字符串找到主函数

{
  if ( 1629056 * *a1 != 166163712 )
    return 0LL;
  if ( 6771600 * a1[1] != 731332800 )
    return 0LL;
  if ( 3682944 * a1[2] != 357245568 )
    return 0LL;
  if ( 10431000 * a1[3] != 1074393000 )
    return 0LL;
  if ( 3977328 * a1[4] != 489211344 )
    return 0LL;
  if ( 5138336 * a1[5] != 518971936 )
    return 0LL;
  if ( 7532250 * a1[7] != 406741500 )
    return 0LL;
  if ( 5551632 * a1[8] != 294236496 )
    return 0LL;
  if ( 34
最低0.47元/天 解锁文章
[GUET-CTF2019]re
qq_51600802的博客
03-18 612
查壳,upx加密的 利用虚拟机去壳 进入程序 __int64 __fastcall sub_400E28(__int64 a1, int a2, int a3, int a4, int a5, int a6) { int v6; // edx int v7; // ecx int v8; // er8 int v9; // er9 __int64 result; // rax __int64 v11[5]; // [rsp+0h] [rbp-30h] BYREF ..
GUET-CTF2019_re
weixin_52118017的博客
11-29 599
upx壳,脱壳之后放进ida. 加载慢,有很多函数,感觉很难。 shift + f12 核心代码就在这,交叉引用找到关键函数 双击进去。 _BOOL8 __fastcall sub_4009AE(char *a1) { if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a1[1] != 731332800 ) return 0LL; if ( 3682944 * a1[2] != 357245568 )
BUUCTF Reverse/[GUET-CTF2019]re
ookami6497的博客
07-21 477
BUUCTF Reverse/[GUET-CTF2019]re 先查一下文件信息,发现是UPX加壳 用kali脱壳 得到脱壳后的文件 用IDA64位打开,跟踪跳转 __int64 __fastcall sub_400E28(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, __int64 a6) { int v6; // edx int v7; // ecx int v8; // er8 int v
[buuctf][GUET-CTF2019]re
逆向萌新的博客
06-26 894
[buuctf][GUET-CTF2019]re
BUUCTF-[GUET-CTF2019]re(Reverse逆向)
最新发布
书山有路勤为径,学海无涯苦作舟
10-12 1333
BUUCTF-re-[GUET-CTF2019]re Z3约束求解器_博客再写是因为自己再复现了一遍,希望加深印象,增强理解。
buuctf————[GUET-CTF2019]encrypt
yhfgs的博客
10-13 807
1.查壳。 2.IDA反编译。 加密函数在sub_400686 sub_4007db sub_4008fa 跟进。 第一个和第二个函数为RC4加密。(reverse逆向算法之base64和RC4_yhfgs的博客-优快云博客) 第三个函数:base64算法的一部分(只是把四个字符一组变成三个字符,没有查表) 3.exp解密 4。get flag flag{e10adc3949ba59abbe56e057f20f883e} ...
[BUUCTF]REVERSE——[GUET-CTF2019]re
mcmuyanga的博客
11-28 562
[GUET-CTF2019]re 附件 步骤: 查壳儿,upx壳,64位程序 upx脱壳儿,然后扔进64位ida,通过检索字符串,找到有关flag的信息定位到关键函数 让我们输入flag,然后满足sub_4009AE函数提示correct! 看一下sub_4009AE函数 对我门输入的flag字符串每一位*一个数据,然后进行了判断,除一下就可以算出flag的每一位 exp: a1 = chr(166163712 // 1629056) a2 = chr(731332800 // 677
BUUCTF 逆向工程(reverse)之[GUET-CTF2019]re
weixin_44632787的博客
08-25 1479
用IDA打开,发现是有加壳的。所以需要先去壳(这里我用的是kali自带的upx脱壳) 因为找不到入口,所以先去找flag的关键词 最终找到关键函数sub_400E28 __int64 sub_400E28() { const char *v0; // rdi __int64 result; // rax __int64 v2; // rdx unsigned __int64 v3; // rt1 __int64 v4; // [rsp+0h] [rbp-30h] __int64
BUUCTF [GUET-CTF2019]re1
2301_77039831的博客
09-06 606
发现程序很简单,就对输入的字符用4009AE函数进行处理,然后判断,那我们就着重看下这个4009AE函数。就是一系列简单的运算比较,需要注意的是这里的第7位是没有列出的,需要我们进行爆破。脱完壳放到ida64位里,没有main函数那就shift+F12查看字符串。发现有upx壳,64位的,可以用工具进行脱壳,看到这个Correct!
BUUCTF--[GUET-CTF2019]re
Hk_Mayfly的博客
04-07 1237
测试文件:https://www.lanzous.com/ib3elba 脱壳 获取信息 64位文件 upx加壳 代码分析 1 __int64 sub_400E28() 2 { 3 const char *v0; // rdi 4 __int64 result; // rax 5 __int64 v2; // rdx 6 unsigned _...
buuojCTF [GUET-CTF2019]re1
kevinhezhuzhu的博客
05-13 440
最近发现题越来也难了,连做了几个都会被卡一半,今儿个终于找到一个会做的……… 这个源文件有upx壳,先脱壳。 顺利脱壳。拖进IDA,进来没找到main函数,shift+F12查看字符串。 有三个关键词,跟踪查看。 关键函数在400E28,查看函数。 __int64 __fastcall sub_400E28(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, __int64 a6) { int v6; // edx.
buuctf——(GUET-CTF2019re
yhfgs的博客
05-31 425
1.查壳。 upx壳,
buu刷题 [GUET-CTF2019]re1
m0_56194555的博客
01-09 2220
buu刷题 [GUET-CTF2019]re1
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值