BUUCTF Youngter-drive

最新推荐文章于 2024-12-07 01:12:40 发布
原创 最新推荐文章于 2024-12-07 01:12:40 发布 · 427 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用UPX脱壳工具处理一个程序,并通过IDA进行静态分析。作者探讨了程序中的主函数和两个关键线程,特别是对一个涉及字符串加密的函数进行了深入分析。加密算法特点是隔一个字符加密,对于大写字母减38,小写字母减96作为索引进行赋值。还提供了一个简单的脚本来解密给定的密文。

在这里插入图片描述
首先查壳发现是upx壳,直接上工具脱壳

upx -d E:\桌面\7289daa8-a5d5-430e-87a0-92ce805d8f15\Youngter-drive.exe

在这里插入图片描述
打开是这样的程序

拉入IDA进行分析
在这里插入图片描述
找到主函数,发现创建了两个线程,一个StartAddress,一个sub_41119F,进去看看
在这里插入图片描述

这里是对我们的flag进行操作,主要函数是sub_41112C
在这里插入图片描述
会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好
在这里插入图片描述
找到411A04处,在pop ebp上按alt+k
在这里插入图片描述
将0x4改为0x0
在这里插入图片描述
这样就可以进入函数分析了
这里是将输入的大写字母-38为off_418000的下标进行赋值,将小写字母-96为off_418000的下标进行赋值
在这里插入图片描述
看到另一个线程函数,这个函数使对字符串的加密是隔一个字加密,也就是在奇数位时加密,偶数位时不变

附上我拙劣的脚本

cipher = 'TOiZiZtOrYaToUwPnToBsOaOapsyS'
list1 = 'QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm'
flag = ''
for i in range(29):
    if(i%2==0):
        flag += cipher[i]
    else:
        if(list1.find(cipher[i])>=1 and list1.find(cipher[i])<=26):
            flag += chr(list1.find(cipher[i])+96)
        else:
            flag += chr(list1.find(cipher[i])+38)

print(flag)
BUUCTF--Youngter-drive
Hk_Mayfly的博客
03-26 972
测试文件:https://www.lanzous.com/ianojbc 如果运行程序提示缺少msvcr100d.dll文件,将此dll文件放程序的同一目录。(https://www.lanzous.com/iap3v6f) 准备 获取信息 32位文件 存在upx壳 代码分析 upx脱壳之后,打开主函数代码 int __thiscall main_0(void *thi...
BUUCTF_Youngter-drive
weixin_46009088的博客
10-30 1938
BUUCTF_Youngter-drive 学到一些多线程和IDA平衡堆栈的知识!同样也是尽量写的详细! 解压后拖进IDA,发现UPX的壳,如图: 用upx -d 把它给脱壳了,如图: 接下来就可以用IDA载入了,如图: 找到main_0函数就可以用F5大法了 一个函数一个函数来看,先看到sub_4110FF,点进去看看: 没啥东西,往下看,CreateThread创建了两个线程,MSDN文档1如下: 点进StartAddress查看线程,如图: 发现一个函数,点进去看,如图: 但是弹出了下面的错误.
buuctf Youngter-drive
weixin_45701079的博客
10-31 2848
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(会脱壳自行百度,很多教程),脱壳之后是能运行的,好像是因为文件重定向,但是影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
buuctf-Youngter-drive
liuzejie1的博客
07-07 284
BUUCTF Youngter-drive1
kevinhezhuzhu的博客
10-26 417
dword_418008为1Dh,每循环一次,dword_418008都减1,当dword_418008>-1时,把Source和dword_418008当作sub_41112C函数的参数,sub_41112C进去之后是sub_411940,但是我这里点进去,尝试查看一下汇编,发现爆红处,尝试NOP掉。就是刚才的那个sub_411BD0,在这里面输入Source,之后把Source赋给Dest,然后创建一个新线程,里面是StartAddress,跟踪进去。查看文件,发现UPX壳,先脱壳。
buuctf---Youngter-drive
shdbehdvd的博客
10-02 631
关键是 提高对win32 API的重视程度,如果 知道 createMutexW互斥 那想都别想做。Youngter-drive - PYozo_free - 博客园 (cnblogs.com)”Source“很眼熟,在字符判断时也出现过,猜测是input。脚本:会,想动脑筋(思路清晰,想写。因为这题运行起来,调试起来,会报错,只能纯分析。看见的一瞬间就知道,是某种表以及某种加密。所以,我先看的字符串:>>>信息收集。跟踪sub_411940就好。所以,此时可以综合所有已知的。
buuctf-re Youngter-drive 题解
weixin_75137273的博客
12-07 492
当一个线程加锁后,另一个线程需要等待解锁才能执行,所以这里可以实现一个交叉执行函数的操作。然后第二个线程中的函数只有递减操作,没有加密操作,由此实现了对。新建两个线程,一个线程startAddress指向startAddress函数,另一个指向sub_41119F,都进去看看。这里对比上一个线程少了加密代码,所以这里函数并没有实际操作,单纯让迭代子dword_618008。工具脱壳后拖入ida反编译,发现很多认识的api函数,具体作用讲了,可以自己去查。整体梳理一下,当第一个线程调用函数时,
Youngter-drive 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-02 6582
buuctf-Youngter-drive 题解
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 279
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
buuctf——youngter_drive
yhfgs的博客
05-29 380
1.得到exe文件,查壳。 upx
buu Youngter-drive
YenKoc的博客
04-03 550
一.查壳,发现是upx的壳,用自解压方式,脱下壳 二.之后发现打开了,应该是要修复,想修复了,直接拖入ida 找到关键函数,中间发生一点小插曲,发现堆栈平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了 发现是创建进程,再进入 这块发现是加密,而且外面还创建了一个进程,说明是一次加,一次加,这种循环来加密的。 然后看看,输出...
[BUUCTF] Youngter-drive笔记与思考 (线程)
Tokameine的博客
04-30 512
Ⅰ. 解题步骤(省略细节的描述) Ⅱ. 知识拓展(对各函数作用进行解释) Ⅰ. 如下为IDA分析得到的main函数。 //main函数(主流程) int __cdecl main_0(int argc, const char **argv, const char **envp) { HANDLE v4; // [esp+D0h] [ebp-14h] HANDLE hObject; // [esp+DCh] [ebp-8h] sub_4110FF(); ::hObje...
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 394
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
Youngter-drive
weixin_52034946的博客
01-25 838
有壳,upx的,先脱壳,教程自己上网搜 从main函数开始 创造俩个进程,StartAddress和sub_41119F StartAddress 里面含有一个加密处理和一个减一 看加密函数,在进 sub_411940 时会有一个报错,我这边用的IDA7.5,提示错误了,但是还是可以看到伪代码 加密函数就是大写字母-38,小写字母-96, 是off_418000 减d的. off_418000:QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd 下一个线程里面只有减一 最后一
re学习笔记(10)BUUCTF-re-Youngter-drive
逆向随笔
11-18 1647
新手一枚,如有错误(足)请指正,谢谢!! 题目链接:Youngter-drive 直接拖入IDA32,提示警告…… 首先函数就俩,,,在UPX1,伪代码第一句是pusha,保存所有寄存器 而最上面的条也没被读取出来,显示灰色 exe文件,使用官网下载的upx进行脱壳进行脱壳 UPX-3.95-win64 脱壳之后成功加载 然后跳转到_main_0查看 F5伪代码 ...
AV-DRIVE 在哪下载
最新发布
03-27
好的,我现在需要处理用户关于AV-DRIVE工具的下载问题。用户询问AV-DRIVE的官网或GitHub仓库地址。首先,我要确认自己是否了解这个工具。AV-DRIVE听起来像是一个自动驾驶或车辆相关的软件,可能与Apollo项目有关联,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值