记录一次手动脱壳 Jarvisoj Reverse Evil.exe

于 2018-10-20 11:10:49 发布
阅读量361 收藏
点赞数
分类专栏: 读书笔记 二进制 安全 二级制 CTF 新操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/caobo_lq666/article/details/83211242
版权
本文分享了一次使用ESP大法解决复杂加密程序的逆向工程经历。通过详细步骤解析,从初步分析到最终获取shellcode,展示了如何利用Ollydump插件脱壳并解析程序逻辑,最终成功提取关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个题目的分值是200,对我来说是个不小的挑战啊。

查了一下壳,没有发现什么

真的这么简单?拖入IDA观察:

呃呃呃,果然不简单;在IDA里面没有任何函数的痕迹。只有一个.text段。

猜测,应该是加了某种壳对源程序加密过。用OD载入。

看到OD的提示,再看到这里的循环pushad,看来应该是有壳,可是工具又查不出来,手动?
这时想到了ESP定律,记录个大佬的ESP定律讲解链接:https://blog.youkuaiyun.com/D_R_L_T/article/details/74625872
将的很详细具体。
我就抱着试一试的态度开始了ESP大法的操作。

1、先F8到pushad下一条指令,找到此时的ESP
2、转到ESP地址出的数据,下硬件内存访问断点。
3、F9到popad附近
4、F8单步寻找popad
5、附近找到jmp指令(一般是大的jmp)
6、跳过去就是OEP啦

 

嗯哼,接下来就可以用OD的插件Ollydump脱壳dump下来啦:

到底是不是呢?我们将dump下来的程序拖进IDA查看,会发现已经建立了函数。

 接下来就是F5啦:


对这些函数逐个查看(详细的就不讲了)。

每个函数的功能:
sub_4018F0   下载一张图片,得到图片的字节数,返回存储图片数据的缓冲区的首地址。
sub_401740    初始化一个byte数组   KEY[264]
sub_401800    一个算法,得到与文件等长一段数据存在缓冲区buffer
sub_401220    对上述得到的缓冲区的数据进行一个简单的异或

纪录下自己的掉进的坑:在初始化数组时,自己没有注意到移位运算的优先级低于 加减 ,导致得到了乱码,半天才找到错误(长记性)。

附送逆向get的代码(C++):

#include<bits/stdc++.h>
using namespace std;
int main()
{
    FILE *fp,*dump;
    fp =fopen("x.jpg","rb");
    dump = fopen("shell.txt","wb");

    fseek(fp,0,SEEK_END);
    int file_len = ftell(fp);//文件的长度
    fseek(fp,0,SEEK_SET);
    cout<<file_len<<endl;
    char file[file_len];
    fread(file,file_len,1,fp);
   fclose(fp);
    unsigned char key[264];
    long long first = 0x4A8754F5745174;

    for(int i=0;i<8;i++)
    {
        key[i] = 0;
    }
    for(int i=0;i<256;i++)
        key[i+8] = ((i + (first >>(i % 8 * 8)))&0xff);//运算符的优先级
    int len = 264;
    int dkey[len/4];

    int temp;
    unsigned char temp4,temp5;

    for(int i=0;i<len/4;i++)
    {
        temp = 0;
        for(int j=3;j>-1;j--)
        {
            temp = (temp<<8) + key[4 * i + j];
        }
        dkey[i] = temp;
    }
    char flag[file_len];

    for(int i=0;i<file_len;i++)
    {
        dkey[0] = (dkey[0]+ 1)%256;
        dkey[1] = (key[dkey[0] + 8] + dkey[1])%256;
        temp4 = key[dkey[0] + 8];
        temp5 = key[dkey[1] + 8];
        key[dkey[0] + 8] = temp5;
        key[dkey[1] + 8] = temp4;
       flag[i] = (key[(temp4 + temp5 )%256 + 8] ^ file[i] ^ i)%256;
       fputc(flag[i],dump);
    }
    fclose(dump);
/*
    for(int i=file_len-1;i>=4;i --)
    {
        if(flag[i]==0x68)
        {
            printf("%c%c%c%c",flag[i-4],flag[i-3],flag[i-2],flag[i-1]);
            i -= 4;
        }
    }
    cout<<endl;
*/
    return 0;
}

可以用16进制编辑器打开得到的文件

可以看到很多字符,但好像是无序的;查看大佬的WP知道这是shellcode(惊)。

自己在OD找段空白,copy进去:

啊哈哈,刚好最近看书看到这段类似的代码实现;

PEB-> PEB_LAR_DATA-> InInitalizationOrderMouduleList->DLL->API

继续往下看;

push一段字符串

注意小端序,即可得到了flag.

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值