从PNG Dropper到Alpha通道隐写术实践 由 维先生 in 逆向学习, 代码充电 本文已发表于“安全客”,转载请注明出处。 0x1 前言 前些天从安全客上看到一篇翻译文章是关于利用PNG像素隐藏PE代码,对实现细节很感兴趣就抽空稍微研究了下相关内容,于是就有了本次分享。 查看全文 »
记两次相似的脱壳过程 由 维先生 in 逆向学习 最近碰到一个木马样本,喜欢加强壳,其中一个壳是经常见到但没去脱过的“Enigma”壳,由于需要分析木马的代码流程,就选了这个壳玩玩,然后发现其中隐藏导入表的手法和去年看雪秋季CTF最后一题“九重妖塔”(@不问年少)有异曲同工之妙,特此记录下脱壳的过程。 查看全文 »
看雪CTF2017学习记录整理系列4 由 维先生 in 逆向学习 本文已发表于“看雪论坛”,转载请注明出处。 程序运行起来输入测试key,点击验证没反应,再点一次程序崩溃,这其实和题目的设计有关,后面会揭晓原因。 直接拖到od里运行,发现入口点被修改了: 查看全文 »
看雪CTF2017学习记录整理系列3 由 维先生 in 逆向学习 本文已发表于“看雪论坛”,转载请注明出处。 程序运行后输入回车验证,没有任何提示,于是OD附加进程,但是发现无论是硬件断点还是内存断点,只要程序一运行到下断的位置就会直接崩溃,各种版本的OD过反调试都失效: 后来发现这是一个神奇的反调试,核心代码在驱动层,并且实现方法也很简单,主要就是在底层遍历找到crackme进程将调试端口置为0: 查看全文 »