chapter2:逆向工程之学习——动态分析与静态分析结合解CTF(csaw2013reversing2)

最新推荐文章于 2025-09-24 10:53:36 发布
原创 最新推荐文章于 2025-09-24 10:53:36 发布 · 1.9k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全

本文详细介绍了如何运用动态分析工具OllyDbg,结合静态分析,破解经典逆向工程题目。通过动态调试,理解程序逻辑,避开debugbreak陷阱,找出Flag。关键步骤包括设置断点、修改寄存器和判断条件,最后揭示了如何利用汇编知识实现IF逻辑。

前言

最近在准备CTF比赛,刷到一道非常经典的逆向题:攻防世界——csaw2013reversing2。这道题十分完美的用上了静态分析和动态分析的方法。在这里,我先总结一些啥是动态分析,然后再用动态分析与上个月的静态分析来解一道CTF逆向题。关于静态分析: chapter1:逆向工程之学习——静态分析

动态分析

动态分析

什么是动态分析?

指程序运行的同时跟踪其行为的技术。其实类似于我们在一些IDE中进行代码调试时所用的“Debug”。

动态分析常用工具:OllyDbg

使用方法很简单:直接打开软件,把目标exe文件拖入即可。
我们关键是来看一下:OllyDbg的四个大黑框都是啥。我们主要把注意力放在左上角的框(反编译代码和二进制代码)和右上角的框(寄存器)。左上角的框就相当于你在IDE中需要进行Debug的一些代码,按F2设置断点,按F9执行程序/运行到断点处,F8单步调试。你可以看到图中00401388代表的是这个程序的物理地址,然后你会发现00401388是灰色背景,但是下面的都是黑色背景。那是因为程序正运行到此。

那么右上角的框,代表了一些变量值,这些值都存储再寄存器中(EAX , ECX …),下面还有一些标志位(C , P , A , Z),这些都可以在程序调试中,手动修改,目的是:实现一些违背源程序本意的操作。 比如:得到 Flag
在这里插入图片描述但是,汇编代码冗长,你想快速地找到你想设置断点的程序位置并不容易。所以得结合上次的静态分析技术(忘了可以看我上一篇博客,不看也没关系,等下会在解题部分进行演示)。

如何调试

只要你会用主流的IDE比如Pycharm,VS,IDE,MATLAB 等。学会OllyDbg也不是难事!!!
其实我们只需要遵循三步走:

  • 第一步设置断点并开始调试:F2 – > F9
    在这里插入图片描述

  • 第二步单步调试:F8

  • 第三步观察寄存器,栈区域,必要时修改寄存器
    在这里插入图片描述总之就和你平时调试IDE一样简单!

开始解题

在这里插入图片描述打开运行的话就是一段乱码。然后程序结束。下面开始进行正常的解题分析步骤

开始静态分析

  • Step1:我们先把这个程序丢到PE中看一看是几位的,加没加壳!重点还是看加没加壳
    在这里插入图片描述
  • Step2:丢进IDA 进行静态分析,我们直接找Main函数
    在这里插入图片描述
  • Step3:按F5 对main 函数的汇编代码进行反汇编
int __cdecl __noreturn main(int</
最低0.47元/天 解锁文章
逆向攻防世界CTF系列10-csaw2013reversing2
LH1013886337的博客
10-15 890
32位无壳提示:听说运行就能拿到Flag,不过菜鸡运行的结果不知道为什么是乱码运行果然出乱码…
[攻防世界]csaw2013reversing2
逆向萌新的博客
06-05 464
放入查壳软件中查壳,发现是32位无壳的软件,运行一下程序,看看有什么样的输出,得到的是乱码。 所以可能是里面的运算有问题,进入ida中进行查看,进入main函数,看汇编代码可能存在问题,进入反编译。 看到了,flag应该是在lpMen里面,但是返回去看汇编 按照逻辑图来看。 没有走flag的那里的逻辑,所以我们静态调试可能就会很费劲,所以用OD进行调试,在OD中查找flag,直接跳转过去。 这里是有需要修改的地方,看逻辑位置,在图片中标记出来。 按照正常的逻辑,这里flag的运算会被跳过,那么把跳转和
攻防世界--csaw2013reversing2
weixin_30876945的博客
08-30 991
测试文件:https://adworld.xctf.org.cn/media/task/attachments/3f35642056324371b913687e770e97e6.exe 1.准备 打开测试文件,flag内容为乱码。 检测文件信息 获得信息 32位文件 OllyDbg打开 2.IDA打开 将main函数反编译为C语言文件后,...
CTF逆向工程简单介绍以及题通用思路入门
最新发布
2302_76672693的博客
09-24 784
软件的编写语言经历了从机器语言到汇编语言,再到如今高级语言的变化。最开始使用的都是机器语言进行的编写,机器语言是机器能直接识别的程序语言或指令代码,无需经过翻译,每一操作码在计算机内部都有相应的电路来完成它,或指不经翻译即可为机器直接理和接受的程序语言或指令代码。机器语言使用绝对地址和绝对操作码。不同的计算机都有各自的机器语言,即指令系统。从使用的角度看,机器语言是最低级的语言。而二进制代码则是机器语言的具象表示。
调试逆向分为动态分析技术和静态分析技术()
weixin_33918114的博客
02-01 981
    在软件开发的过程中,程序员会使用一些调试工具,以便高效地找出软件中存在的错误。而在逆向分析领域,分析者也会利用相关的调试工具来分析软件的行为并验证分析结果。由于操作系统都会提供完善的调试接口,所以利用各类调试工具可以非常方便灵活地观察和控制目标软件。在使用调试工具分析程序的过程中,程序会按调试者的意愿以指令为单位执行。   调试逆向分为动态分析技术和静态分析技术。   动态分析技术指...
攻防世界-Reverse-csaw2013reversing2
2301_80797059的博客
07-20 1373
1.IDA静态分析2.Ollydbg动态调试。
chapter1:逆向工程学习——静态分析
lmboss的博客
04-04 6337
第一回:逆向工程学习——静态分析
【XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
Reversing 逆向工程揭密》PDF版本下载.txt
07-17
接下来,我们将基于这个信息深入探讨逆向工程相关的几个核心知识点,包括逆向工程的基本概念、逆向工程的应用场景、逆向工程的技术工具以及逆向工程学习资源。 ### 一、逆向工程基本概念 逆向工程(Reverse ...
攻防世界-csaw2013reversing2
2301_77301535的博客
05-09 335
到了这里发现存在两个MessageBox但是目标走的是乱码的那个MessageBox所以这里将它的跳转条件修改以哦那位int3下面存在一个赋值,但是不知道给了什么内容所以将je改成jmp到mov edx 那里然后继续往下走。这题打开就是一堆乱码,这里的思路是猜测可能存在两个MessageBox并且真正输出flag的那个MessageBox并没有走进判断里面,ok有了思路直接上实操。到了这里发现jmp直接跳到结束去了,这里让它跳到messagebox的入栈出,最后得到最终flag。
攻防世界-新手区csaw2013reversing2
qq_43447375的博客
12-15 382
攻防世界-新手区csaw2013reversing2欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出导入导出导入 欢迎使用Markdown编辑器 #题目: csaw2013reversing2 ##题目来源
writeups-ctf:逆向工程CTF的撰写
03-18
writeups-ctf:逆向工程CTF的撰写
逆向-攻防世界-CSAW2013Reversing2
weixin_30701521的博客
04-25 266
运行程序乱码,OD载入搜索字符串,断电到弹窗Flag附近。 发现跳过00B61000函数,弹窗乱码,我们试试调用00B61000函数。将00B61094的指令修改为JE SHORT 00B6109b。然后跟进函数,单步执行。 拿到了flag。 原程序是在00B610B9处弹窗,我们将00B610A3的指令修改为JE SHORT 00B610B9。保存修改,然后就会弹窗真正的f...
攻防世界csaw2013reversing2
weixin_52230368的博客
08-13 336
攻防世界csaw2013reversing2: 文件下载下来是一个可执行程序,先来运行一下是来干什么的: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上 一个小程序看见了Flag标题但是是一堆乱码。放进IDA查看伪代码,分析程序的基本思路: 在分析之前啊,我们要先了几个函数是干什的: 1.HANDLE hheap;这个代码是定义一个句柄,实际上是一个数据,是一个Long类型的数据,是一种指向指针的指针。 1.Heap Create()函数,创建一个只有调用进程才能访问的私有堆。进程从
攻防世界 REVERSE 新手区/csaw2013reversing2
ookami6497的博客
07-12 722
攻防世界 REVERSE 新手区/csaw2013reversing2 看题目描述,说是运行就能拿到flag,下载运行一下,看来不行 先查一下有没有加壳,这个没有加壳,而且是个32位的程序 用IDA32位打开,f5查看伪代码 接下来就是分析代码了 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h
csaw2013reversing2
qq_61554462的博客
03-31 270
攻防世界
攻防世界reversecsaw2013reversing2
2402_87431173的博客
01-16 277
将汇编指令更改为以上后保存数据后运行得到flag:flag{reversing_is_not_that_hard!静态分析后得出需要跳过检测动态调试的函数、中断函数、结束进程。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值