CherestSan的博客

0 简介循环冗余校验（Cyclic Redundancy Check， CRC）是一种根据网络数据包或计算机文件等数据产生简短固定位数校验码的一种信道编码技术，主要用来检测或校验数据传输或者保存后可能出现的错误。它是利用除法及余数的原理来作错误侦测的。（百度百科）实际上是循环进行“模2”运算，发送方和校验方拥有相同的校验多项式，针对其进行循环“模2”运算，最终生成冗余项，将冗余项添加到数据尾后，对于新的数据报文进行相同的循环“模2”运算，没有出错的话运算结果应为0，原理类似与除法的整除。1 简单实现

控制流平坦化原文基本思想是让所有的基本块都有共同的前驱块，而该前驱块进行基本块的分发，分发用switch语句，依赖于switch变量进行分发。先为每个基本块进行值编号，每个基本块就是一个case块，如果基本块有后继块，就替换每个基本块的后继块，新的后继块更新switch变量为后继块的值，然后跳转到switch开始分发处，初始switch变量为入口entry块的值。例如下图是正常的执行流程经过控制流平坦化后的执行流程就如下图对应ida的cfg会显示为这种形式反编译代码会显示为众多while循环虚

movfuscator混淆机制 demovfuscator介绍

这道题很有意思解题很简单，但是里面有一个小hook解题逻辑十分简单 就是将命令行输入的字符串参数比较字符串直接显示 一看就没这么简单 运行输入果然显示Wrong估计是存在加密，main函数中没有调用其他函数，想到可能存在hookgdb动调单步调试的时候可以发现调用strcmp函数直接跳入了函数——0x6ea0x6ea就是加密函数第一个参数是输入值 第二个参数是zer0pts{********CENSORED********}猜想201090是hook之后的cmp函数 加密过程就

学习逆向也有一段时间了 也是对于这段时间的一个总结准备正所谓工欲善其事必先利其器，逆向之前要准备好我们的家伙什儿IDA链接：https://pan.baidu.com/s/1tCijS4s_g6KFwV9ycCPVkw提取码：nd46反编译工具，还有各种插件实现不同功能，主要应用于静态分析Ollydbg吾爱破解专用版就不戳，可能会报毒，一般破解软件会报毒动态分析神器https://down.52pojie.cndnSpy针对.NET逆向，酷似vs，爱盘都有exeinfope软件查