- 博客(5)
- 收藏
- 关注
RSS订阅原创 快速定位golang程序main函数的方法
拿最近遇到的一个混淆了函数名的go样本来举例:函数名全部做了混淆,可以依稀地从字符串中找到一些go语言编译留下的痕迹:接下来开搞,主要的思路就是找call。
2022-08-03 18:16:35
833
1
原创 去控制流平坦化学习
控制流平坦化是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。控制流平坦化的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。例如一个常见的if-else分支结构的程序可以是这样:经过控制流平坦化之后,得到了一个相当规整的流程图:控制流平坦化在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。混
2020-07-14 22:02:17
4977
原创 记录kali使用KVM搭建Ubuntu16.04pwn靶机过程中的坑
甲方要求:在kali里面使用KVM,在KVM里面用Ubuntu16.04起docker作为pwn靶机,随后启一个匿名ftp用来供选手下载pwn文件首先下载kali:https://images.offensive-security.com/virtual-images/kali-linux-2019.4-vmware-amd64.zip这是直接dump好的虚拟机镜像,解压双击.vmx文件即可。kali安装KVM:...
2020-07-08 13:47:39
765
原创 Windows下给IDApro 安装yara-python 和findcrypt
目标:在IDA pro7.0上安装findcrypt这个插件。而findcrypt这个插件需要依赖python的yara-python模块。因此先安装yara-python。因为要用到pip安装,并且是给IDA自带的python安装模块。所以事先需要把当前python2的环境变量修改为IDA使用的python2.修改完成后pip -V 就能查看当前使用的pip信息然后使用pip install yara-python 报各种乱七八糟的错。C:\Users\ygt>python -m pip
2020-07-08 13:41:47
2035
2
原创 2020网鼎杯朱雀组逆向Tree 及其思考
TreeIDA打开,先做信息收集:无壳,有符号表,函数窗口发现了未被调用过的可疑函数outtreestring一下发现了疑似密文的一串字符串找到main函数main函数checkflag规定输入的数据在‘0’~‘e’之间,并将其作为16进制数转换为4位二进制。并且给出了flag的模板,可以知道flag长度为42checkflag处理完之后将_root内存放的数据作为参数传给__Z5parseP4node__Z5parseP4node接收一个名为node*的参数,猜想可能是一棵树的根节点
2020-05-18 17:26:15
1005
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人