分类: "开源项目"
题目简述
本题分数500分,直接等于前面两题的分数总和,明显不是善茬,差不多都要准备放弃了,抱着学习的心态再看看吧。
题目给了三个文件,主程序main.exe,运行库mscorlib.dll,和一个被加密过的文件data.encrypted,最终目标是要分析程序后解密该文件得到一张图片。
反调试
老样子,把main.exe拖IDA分析,能够直接看到主函数,并且一来就有创建一个反调试的线程:
先看一下这个反调试吧,其实就是一个不断触发异常然后自动处理异常的动作(包括关闭错误句柄、除0异常,涉及异常处理机制、栈恢复等内容,这里没有细究),如果挂上调试器异常就会不断被调试器接收将会很烦:
yara是一个开源的字符串匹配工具,当然其功能远远超越了简单的字符串匹配。下面是对这款工具的一个总结,主要针对的是如何使用该工具对恶意软件进行特征提取。
本文已发表于“安全客”,转载请注明出处。
某天,在测试一张新数据表的字段时,由于在phpmyadmin不断地删除该数据表,导致一时不慎将整个数据库drop掉,当时立马就吓尿了,那是我们运营了一年的宝贵数据,突然就全没了,虽然还有两个月前的一次备份数据,但中间改动的很多新结构以及产生的新数据都没法恢复。情急之下,立刻关掉数据库服务器,在网上寻找各种不靠谱的硬盘数据恢复软件,试图通过恢复mysql相关的数据库文件来找回,但是都没有效果,只能找到一些数据表的结构文件(.frm),然而这些结构我其实都有备份,没什么卵用。由于之前网上看过通过mysql相关文件可以从不同机器恢复数据,坚信恢复数据是可能的,所以不断寻求方法。后来,先找了认识的一个研发同事帮忙,他告我他都是用的别人管理的数据库服务,会自动备份,不需要自己维护数据库,并且告诉我恢复不了;然后他又帮我找到了另一个DBA同事,来到了现场帮我看,看我没有开启mysql的binlog配置,又给了我一个结论:没办法恢复了!当时我就真慌了,于是带着压力和微弱的信念,最终找到了可行的恢复方案,特此记录。