攻防世界 Windows_Reverse1

最新推荐文章于 2025-10-20 15:27:38 发布
原创 最新推荐文章于 2025-10-20 15:27:38 发布 · 609 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #安全 #windows

本文详细介绍了如何通过逆向工程分析.exe文件,从使用ExeinfoPE查看文件信息,到利用upx脱壳,再到IDA静态分析,发现关键函数sub_401000的解密逻辑。通过对汇编代码的解析,作者构造了解密脚本,最终得到解密后的flag。过程中涉及ASLR、010Editor、x32dbg等工具的使用,展示了逆向工程在软件分析中的应用。

准备

环境:Windows10

工具:ExeinfoPE、upx、IDA、x32dbg、010Editor

开始

附件是.exe文件,使用ExeinfoPE查看文件信息

在这里插入图片描述

能看出来此文件被upx加了壳。

使用upx脱壳

在这里插入图片描述

将脱壳后的文件放入IDA静态分析

main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
   
  char v4; // [esp+4h] [ebp-804h] BYREF
  char v5[1023]; // [esp+5h] [ebp-803h] BYREF
  char v6; // [esp+404h] [ebp-404h] BYREF
  char v7[1023]; // [esp+405h] [ebp-403h] BYREF

  v6 = 0;
  memset(v7, 0, sizeof(v7));
  v4 = 0;
  memset(v5, 0, sizeof(v5));
  printf("please input code:");
  scanf("%s", &v6);
  sub_401000(&v6);
  if ( !strcmp(&v4, "DDCTF{reverseME}") )
    printf("You've got it!!%s\n", &v4);
  else
    printf("Try again later.\n");
  return
最低0.47元/天 解锁文章
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 1305
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
day01 攻防世界Window_Reverse1
weixin_46625454的博客
05-25 419
攻防世界Window_Reverse1 1.发现是upx壳,使用手工脱壳 2.可以发现pushad,这是加壳前的表现,先保存现场,可以看见被push进去栈中的全部寄存,我们只要对这些数据下硬件访问断点,就可以发现这些数据什么时候被恢复。 3.可见popad指令,恢复现场,准备运行主程序 4.跳到程序主入口,dump下来,修复iat表,这个程序就能脱掉upx壳 修复IAT 5.我们可以看见我们输入的内容是v6,传给sub_401000函数,一开始我很很好奇,为啥这个函数传v4,如何传出来,为啥
ExeinfoPe:PE文件深度分析逆向工程利器
最新发布
weixin_34779181的博客
10-20 1461
某些高级打包器(如Enigma Protector)或恶意软件生成器会替换默认DOS存根为自定义功能代码,例如:显示虚假错误消息误导分析人员;执行初步解密操作;实现多阶段加载逻辑。可以通过以下Python脚本提取并保存DOS存根:# 读取DOS头获取 e_lfanew# 从0x40读取到 e_lfanew 之前的内容即为DOS存根参数说明file_path: 输入PE文件路径;: 输出存根文件名;0x3C: 固定偏移,指向e_lfanew。
逆向攻防世界CTF系列45-Windows_Reverse1
LH1013886337的博客
12-04 952
ASCII编码表的可视字符就得是32往后了, 所以, byte_402FF8凡是位于32以前的数统统都是迷惑项. 不会被索引到的,而这0x00402FF8~0x00403017刚好是32个字符。也就是一开始是v4=a1-v1,v1为0,其实就是我们输入的第一个字符的位置,后面v1[v4]倒不如理解成v4[v1],v1会加加,就会遍历。这V1作为地址和v4作为地址差值执行的是v1+v4的操作,因为数组a[b]本质就是在数组头地址a加上偏移量b来遍历数组的,v1一开始是0,v4是地址差。
攻防世界 Reverse高手进阶区 2分题 Windows_Reverse1
闵行小鱼塘
12-31 638
继续ctf的旅程,攻防世界Reverse高手进阶区的2分题,本篇是Windows_Reverse1的writeup
攻防世界---->Windows_Reverse1
shdbehdvd的博客
09-21 653
ASLR地址随机化处理。
攻防世界Windows_Reverse1
gonna2011的博客
04-21 247
题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这我改了一下文件名 之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8 开始以为是base64,发现不是,是ASCII码,shift+e找到a1 上脚本 最后包上flag{} ...
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 1033
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
Windows_Reverse1
Tiany的博客
08-11 325
攻防世界Windows_Reverse1
攻防世界Reverse(1)
njh18790816639的博客
12-24 934
Shuffle 首先拖进ida去查看伪代码,那就要找到伪代码,按常规操作:搜索字符串,跳转,F5伪代码。而这题我们可以看到字符串是没有我们想要的一些字符出现,而我们可以直接在左边找到main函数,F5就能看到伪代码。 伪代码也有些长,我们直接看最后,结合着题目所给的提示: 代码如下: 那我们就分析一下,它这么个for体,因为有个随机,我们是不好判断其中最后的输出方式,而我们可以直接去看看原始数据,就能发现 整理一下就可以了:SECCON{Welcome to the SECCON 2014 CTF!
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
Windows_Reverse1 攻防世界
re1wn
04-13 2092
Windows_Reverse1 攻防世界
攻防世界---->Windows_Reverse1(补)
shdbehdvd的博客
09-21 377
decode 取值等于 byte_ [xxx] 是否说明了byte_ 是一张解密表?总结:最好自己分析,不要纠结表的数据,为什么不一样。以自己的hex数据为准。假设,我们不知道地址随机怎么办?不能动调,只能静态分析。我们对 byte_ [xxx] 进行hex跟踪。“ 表示为不可见字符。数据未显示时,可以尝试追踪hex内存。不明白可以反汇编和汇编一起看。重新打开,静态分析
DDCTF2019reverse1_final逆向教程
weixin_42306891的博客
04-18 574
0x1,首先查壳: 是个常见的压缩壳,用手动脱壳即可。 0x2,OD调试程序: 1,最重要的是跳到函数加密的位置,根据这个压缩壳的特点,知道前面是一直的循环,让你找不到程序入口的位置,这只使用F4跳到鼠标位置就好: 一步步到向下到想要的位置 这个位置是调用的位置,我们F7,进入看看; 2,在一步步走 再次调用位置; 3,其实我们已经知道程序入口,手动脱壳 ...
PE文件关闭随机基址
qq_29176323的博客
04-11 769
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
去掉PE文件随机基址的方法
weixin_30448603的博客
07-10 1844
用010Editer打开点击下面箭头所指的NtHeader然后在上方变蓝的数据块内找到4081,然后修改为0081即可(懂得PE文件的朋友可以也可以一层一层自己找到这个字段,就是WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE这个字段 ,把值1改为0即可。 未修改之前: OD加载的地址如图所示: IDA加载如图所示: 修改之后: OD加载的...
BUUCTF reverse wp 11 - 20
fa1c4的blog
01-08 1295
Java逆向解密 java逆向, 用java-decompile逆 import java.util.ArrayList; import java.util.Scanner; public class Reverse { public static void main(String[] args) { Scanner s = new Scanner(System.in); System.out.println("Please input the flag ); String s
PE手动重定位
Starr
11-15 718
文章目录源码运行添加重定位信息 工具:RadAsm,010 Editor,LordPE。 源码 .386 .model flat,stdcall option casemap:none include msvcrt.inc includelib msvcrt.lib .data szText db 'welcome', 0ah, 00h szPause db 'pause', 00h ...
攻防世界 reverse 1
10-19
攻防世界 reverse 1 是一道逆向题目,需要使用IDA等工具对给出的32位程序进行逆向分析。程序中包含两个加密函数,其中函数1140是AES加密的S盒初始值,而密钥拓展则需要进一步分析。此外,程序中没有输入输出相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值