随笔分类 - Reverse(逆向与反汇编)
摘要:测试文件:https://www.lanzous.com/iauqjsd 代码分析 先找到程序运行显示处的代码 1 // 个数,数组,环境变量 2 __int64 __fastcall sub_140013AA0(__int64 a1, __int64 a2, __int64 *a3) 3 { 4
阅读全文
摘要:测试文件:https://www.lanzous.com/iaup43c 文件提取 binwalk 首先需要使用binwalk对文件进行提取。安装教程:https://blog.csdn.net/QQ1084283172/article/details/65441110 binwalk -e fir
阅读全文
摘要:测试文件:https://www.lanzous.com/iat245a 1.将excel文件后缀改为.zip格式,解压到文件夹中。 2.找到xl文件夹,打开里面的vbaProject.bin二进制文件。 3.将DPB修改为DPX 4.保存后,重新将文件夹压缩为.zip,修改后缀为.xlsm,打开。
阅读全文
摘要:测试文件:https://www.lanzous.com/iaoj7qb 溯源 使用jadx-gui打开后,搜索包含mail的代码 很明显,这个sendMailByJavaMail函数应该是一个关键函数。找到位置 public static int sendMailByJavaMail(String
阅读全文
摘要:测试文件:https://www.lanzous.com/ianojbc 如果运行程序提示缺少msvcr100d.dll文件,将此dll文件放程序的同一目录。(https://www.lanzous.com/iap3v6f) 准备 获取信息 32位文件 存在upx壳 代码分析 upx脱壳之后,打开主
阅读全文
摘要:测试文件:https://www.lanzous.com/iann8pe 代码分析 用jadx-gui反编译后,直接看看主要的代码 1 public class MainActivity extends ActionBarActivity { 2 /* access modifiers change
阅读全文
摘要:测试文件:https://www.lanzous.com/iane9hi 代码分析 直接IDA打开,找到主函数之后 1 int __cdecl main_0() 2 { 3 DWORD v0; // eax 4 DWORD v1; // eax 5 CHAR String; // [esp+4Ch]
阅读全文
摘要:测试文件:https://www.lanzous.com/iandl8f 代码分析 使用jd-gui打开文件(点击下载) import java.util.ArrayList; import java.util.Scanner; public class Reverse { public stati
阅读全文
摘要:1.代码分析 __int64 __fastcall sub_401CA0(signed int a1, __int64 *a2) { __int64 v2; // rsi __int64 v3; // rcx __int64 v4; // rdi __int64 v5; // rdx __int64
阅读全文
摘要:题目文件:https://www.lanzous.com/b07rfp6wd Re guessgame IDA打开Strings window BJD{S1mple_ReV3r5e_W1th_0D_0r_IDA} 8086 用ETU-Dasm打开 实际就是将[200]地址的字符串与1F做异或运算 a
阅读全文
摘要:奇怪的安装包 测试文件:https://www.lanzous.com/i9y10ed 准备 使用.7z打开安装文件(我的.7z版本为15.05 beta),找到nsis脚本 部分函数解释 IntCmp: 值1 值2 相等时跳转 [值1小时跳转] [值1大时跳转]比较两个整数 值1 和 值2。如果
阅读全文
摘要:测试文件:https://adworld.xctf.org.cn/media/task/attachments/3d43134e9941483e970e936e88c245f2.exe 1.准备 获取信息 .Net文件 32位文件 2.调试 3.get flag! flag{967DDDFBCD32
阅读全文
摘要:测试链接:https://adworld.xctf.org.cn/media/task/attachments/33009710e3f44f04b5a4cdbaaa46f00a 1.准备 获取信息 64位文件 2.IDA打开 __int64 __fastcall sub_400F8E(__int64
阅读全文
摘要:测试文件:https://adworld.xctf.org.cn/media/task/attachments/70d66fb7eb264e868d4a79c891004128.pyc 1.代码转换 将.pyc转换为.py文件,可以去在线的,也可以使用工具,这里有说明:https://www.cnb
阅读全文
摘要:赛题下载地址:https://www.lanzous.com/b07r91skd 0x01 lucky_guy IDA打开 进入patch_me 进入get_flag 随机产生5个数字,每产生一个进入下面switch进行处理 代码分析 分析得到处理顺序 1中得到f2的初始值"icug`of ",2可
阅读全文
摘要:0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax int v1; // edx int v2; // edx int v3; // ecx int v4
阅读全文
摘要:准备 简介: PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。 整个过程需要测试文件成品:https://www.lanzous.com/b07r7qu0d 首先使用PEiD检测之前做的一个异常捕捉测
阅读全文
摘要:0x01 debug 测试文件:https://www.lanzous.com/i7kr2ta 1.Linux运行环境 在Linux上运行linux_server64文件 2.IDA配置 1 __int64 __fastcall main(__int64 a1, char **a2, char **
阅读全文
摘要:xx 测试文件:https://www.lanzous.com/i7dyqhc 准备 获取信息 64位文件 IDA打开 使用Findcrypt脚本可以看到 结合文件名是xx,因此猜测代码用到了xxtea加密方法 流程总结 因此,总的流程为: 判断输入的字符串的每个字符是否包含在"qwertyuiop
阅读全文
摘要:0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx -d reverse.exe"解密 2.IDA打开 直接在String中,找到引用"Input Your Fl
阅读全文
浙公网安备 33010602011771号