记两次相似的脱壳过程 由 维先生 in 逆向学习 最近碰到一个木马样本,喜欢加强壳,其中一个壳是经常见到但没去脱过的“Enigma”壳,由于需要分析木马的代码流程,就选了这个壳玩玩,然后发现其中隐藏导入表的手法和去年看雪秋季CTF最后一题“九重妖塔”(@不问年少)有异曲同工之妙,特此记录下脱壳的过程。 查看全文 »
看雪CTF2017学习记录整理系列4 由 维先生 in 逆向学习 本文已发表于“看雪论坛”,转载请注明出处。 程序运行起来输入测试key,点击验证没反应,再点一次程序崩溃,这其实和题目的设计有关,后面会揭晓原因。 直接拖到od里运行,发现入口点被修改了: 查看全文 »
看雪CTF2017学习记录整理系列3 由 维先生 in 逆向学习 本文已发表于“看雪论坛”,转载请注明出处。 程序运行后输入回车验证,没有任何提示,于是OD附加进程,但是发现无论是硬件断点还是内存断点,只要程序一运行到下断的位置就会直接崩溃,各种版本的OD过反调试都失效: 后来发现这是一个神奇的反调试,核心代码在驱动层,并且实现方法也很简单,主要就是在底层遍历找到crackme进程将调试端口置为0: 查看全文 »
看雪CTF2017学习记录整理系列2 由 维先生 in 漏洞分析 本文已发表于“看雪论坛”,转载请注明出处。 本来想比赛后好好整理一番再发的,没想到事情每天都堆积不完,只好抽空先把写过的发出来,以后“有机会”再修整吧~ 程序运行后,输入用户名后显示命令列表,类似于记事本存储管理,实际上只有前3项命令有用,第4项“查看”是摆设,无实际功能: 把程序扔IDA里开始先分析程序流程,对应上面的程序功能: 查看全文 »