IDF实验室之简单的PE文件逆向

最新推荐文章于 2025-01-13 21:48:40 发布
最新推荐文章于 2025-01-13 21:48:40 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: CTF题解 文章标签: idf实验室 逆向 pe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/calmegm/article/details/49009867
版权

原题链接:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=38


因为是个pe文件,我们现在PC上运行以下,如下图:


也就是说要输对flag,内部大概是字符串的对比

直接上IDA ,一路F5,于是在函数sub_4113A0中找到判断代码


前面一大串定义了一些int常量、一个char数组,一些字符

直接跳过前面的gech输出,进入判断

找到


好吧,它是通过v13来判断的,如果我们要输出“u r right“,那么v13肯定不能等于1,于是我们再往上面看


如果要v13不为1那么v38=49(对于字符1)。。。。

这样我们得到了1024}

跟格式wctf{xxxxx}有点像了,也就是说前面还有字符串

我们再找到定义


于是我们要找到v37[17]这个数组

我们看到前面还有一个for循环


接着我们找到这个byte_415768数组是这样子的


V14的值为1,&v14+1的意思就是&v14+size(int),v14的地址加上4个字节,于是我们再看到前面的定义。


加上4个字节也就是到了v15的地址上去

也就是说*(&v14+1)=v15,因为地址范围是连续的

这样我们只要按照v14-v33来去值就行了,如v37[0]=byte_415768[1]=w。。。

以此类推

得到

wctf{Pe_cRackme1_1024}


[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
机器学习入门
qq_43537670的博客
09-09 1445
人工智能小案例: 请使用科学上网工具打开链接 案例一:https://quickdraw.withgoogle.com/ 案例二:https://pjreddie.com/darknet/yolo/ 案例三:https://deepdreamgenerator.com/ 人工智能的发展历程: 图灵测试: 测试者与被测试者(一个人和一台机器)隔开的情况下,通过一些装置(如键盘)向被测试者随意提问。多次测试(一般为5min之内),如果有超过30%的测试者不能确定被测试者是人还是机器 ,那么这台机器就通过了...
CTF 【每日一题20160626】简单PE文件逆向-附件资源
03-05
CTF 【每日一题20160626】简单PE文件逆向-附件资源
逆向工程-PE文件结构
阿Q在行走
02-06 323
pe通常由以下几部分组成,DOS文件、标准PE头、可选头、节表和相应的节。 DOS文件头: _IMAGE_DOS_HEADER{ WORD e_magic; //MZ标记*,用于判断是否为可执行文件1 WORD e_cblp; //bytes on last page WORD e_cp; //pages of file WORD e_crlc; //relocations W...
CTF之逆向入门
最新发布
logic1001的博客
01-13 1483
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。让我们来看看程序的逻辑,程序首先尝试比较参数的数量。
逆向工程PE文件
qq_41698500的博客
02-01 301
PE文件是Windows操作系统下使用的可执行文件格式。 64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式。 其中有4个重要部分,设置错误会无法运行。 几个特殊码的作用与初始值。 code拥有执行读取权限,date有非执行读写权限,resource具有非执行读取权限。
CTF 【每日一题20160626】简单PE文件逆向
hhhparty的博客
06-27 9944
简单PE文件逆向 来源:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=38 题目:就在这里,很简单的~虽然我不会。。= =! http://pan.baidu.com/s/1dDzUL0X分析: 0.不明白PE为何物的,请参考文章: 初步认识PE: http://www.52pojie.cn/thread-15354
AI中台——智能聊天机器人平台的架构与应用(分享实录)
gao2175的博客
08-01 2268
内容来源:宜信技术学院第3期技术沙龙-线上直播|AI中台——智能聊天机器人平台 主讲人:宜信科技中心AI中台团队负责人王东 导读:随着“中台”战略的提出,目前宜信中台建设在思想理念及架构设计上都已经取得了很多成果。宜信是如何借助中台化的思想打造“AI中台”及相关的智能产品呢?本次直播,宜信科技中心AI中台团队负责人王东老师分享了宜信AI中台的具体实施路径,并重点介绍了AI中台的智能产品——智能...
《自然语言处理-基于预训练模型的方法》笔记
github_34349558的博客
08-13 5633
《自然语言处理-基于预训练模型的方法》笔记 文章目录《自然语言处理-基于预训练模型的方法》笔记@[toc]〇.写在前面一、绪论(一) NLP 任务体系I.任务层级II.任务类别III.研究层次(二) 预训练的时代二、NLP 基础(一) 文本表示I.独热向量II.分布式表示III.词嵌入表示IV.词袋表示(二) NLP 任务I.语言模型II. 基础任务III. 应用任务(三) 基本问题I. 文本分类问题II. 结构预测问题III. 序列到序列问题(四) 评价指标I. 标准答案明确的情况II. 标准答案不明确的
逆向工程核心原理》学习总结(四) - PE文件格式
attack_eg的博客
07-01 1040
介绍PE文件是windows操作系统的可执行文件格式(包括.exe、.scr、.dll、.sys、.obj等文件),PE文件指32位的可执行文件,也称为PE32。64位可执行文件称为PE+或PE32+,是PE32文件的一种扩展形式。基本结构PE文件包含PE头与PE体,研究PE文件格式,就是研究构成PE头的结构体。 PE头包含的基本结构如下: 1.DOS头 2.DOS存根 3.NT头
逆向-PE文件结构
写代码的小阿帆的博客
05-21 1057
首先复习一下PE文件的结构: MS-DOS头 DOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
PE 文件解析程序(含反汇编)
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
PE,反汇编,反编译,目标程序反推源代码,破解中的必备知识
01-21
逆向工程中需要了解PE文件的细节,此文档资料就值得读下 适合于结合反编译,和反汇编工具使用
逆向工程——PE(一)
weixin_33751566的博客
12-06 538
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32),PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll动...
逆向工程核心原理 pe文件(小试牛刀)小结
逆向工程核心原理 学习小结
05-21 1393
在开始这篇pe文件格式时,我阅读到其中的练习时感到比较混乱,在这里我推荐大家先使用PeViews这款软件进行学习。首先应该理清思路然后再自己找一遍。PeViews如下图:首先看着课本能分清楚基本的结构:DOS头——》DOS存根——》NT头(NT文件头和NT可选头)——》各种节区头(其中的.text .data .rsrc等)其次,要能够找的到IMAGEBASE(映射基础),然后再在各个节区头中找到...
逆向-PE文件基本概念
写代码的小阿帆的博客
05-20 722
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 PE文件大体结构如下图: PE文件使用平面地址空间,代码数据组合在一起形成一个较大结构,文件的内容被分为不同的区块(secession),区块中包含代码和数据,各区块按页对齐,没有大小限制,每个块在内存有自身的属性,比如其中是否包含代码,是否只读或可写等。 PE文件并非作为单一文件被映射
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1462
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
pe逆向的一些小概念
zhuyouwei0609的博客
08-29 517
pe是啥? PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)[1] 通过pe文件结构要推出啥? 入口在哪 数据在哪 程序在哪 pe逆向流程? 二进制——〉汇编——〉c语言 二进制编辑器打开的程序的二进制值是低位在前,高位在...
WhaleCTF逆向PE结构wp
Hu4
07-15 462
题目描述: PE结构自行了解,附上 连接 介绍一下PE文件的IMAGE_NT_HEADERS结构体 详情见文章:https://www.cnblogs.com/mayingkun/p/4200022.html 拿到题目修改后缀,根据以上图解查找: 由于是小端显示则收集到的信息为 BJWXB_CTF{0004h-591D5CCCh-xxxxh-0103h} 还剩下文件入口点 拿...
Python实现TF-IDF算法个人文件智能分类系统
本项目是利用TF-IDF算法在个人文件管理系统中的应用,它通过分析文件内容中的高频词,并与学科语料库中的词频数据进行对比,借助余弦相似度来判定新文件的类别,并将其归档整理。整个过程充分展现了机器学习与文本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值