摘要:
第一次遇见地址偏移间接操作,记录一下wp的思路方法不是我的,我只是做记录理思路 题目 分析过程 PE查壳,有一个UPX壳 用工具脱壳 IDA看看main函数 两个关键参数:input(v6改名) 和 flag(v4改名) 光看反汇编函数,这两个参数怎么都联系不起来 想着地址说不定连在一起呢? -00 阅读全文
摘要:
题目 分析过程 是一个无壳,64位的文件 丢到IDA里面,找到main函数 1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) 2 { 3 __int64 v3; // rdx 4 char *v 阅读全文
摘要:
题目 分析过程 丢到PE里面,无壳,64bit 丢到IDA里面,查看mian函数 1 int __fastcall main(int a1, char **a2, char **a3) 2 { 3 size_t s_len; // rax 4 int drink_ID; // [rsp+1Ch] [ 阅读全文
摘要:
题目 分析过程 丢到PE里面 一开始,我看到下面的脱壳提示,以为是我没见过的壳,下载了相关工具脱壳——发现脱了后又出现没见过的脱壳提示,根据提示脱壳弄出来的东西怪怪的 卡题,查了资料 学到一个新知识点:这是一个.NET文件,不脱壳也是可以的,不能用IDA 关于.NET的工具,我下了几个体验了一下同时 阅读全文
摘要:
刷攻防世界的最后一道二星题,记录一下,大佬请飘过 题目 分析过程 我很勇,我先双击看看这是什么 是一个扫雷游戏,第一下运气好没踩雷,发现无法继续输入了;如果运气不好,会输出“您踩雷啦!” 丢到PE里面 无壳,64位 丢到IDA里面,shif+F12查看字符串,追踪可疑字符串,发现main函数 1 i 阅读全文
摘要:
解题过程中,虽然解出来了,但是磕磕绊绊犯了一些错误,记录一下 分析过程 PE查壳 有一个upx壳,最下面给了脱壳提示: upx.exe -d Replace.exe 脱壳结束,丢到IDA里,SHIF+F12,查看字符串,看到一个可疑的”Well Done!\n“,点进去看看,发现就是主函数,反汇编主 阅读全文
摘要:
自学犟种琢磨动调的一个记录,算是第一次动调的新手向,大佬请飘过 题目 准备工作——IDA pro(32X) 下载得到一个exe文件,首先丢到PE里面——无壳,32bit 丢到IDA pro(x32)里面 刚好main函数就在左边很瞩目的地方,双击+F5,试图反汇编,但是跳出一个弹窗 你点OK或者直接 阅读全文
摘要:
题目: 丢到PE里, 无壳,64bit 丢到IDA里,shift+F12,查看字符串,找到一个很可疑的字符串 跟进去看看,找到目标函数,我另外搜索了一下,没有mian函数,sub_400F8E应该就是解题的关键函数 有部分变量我修改的名字,为了方便理解 1 __int64 __fastcall su 阅读全文
摘要:
题目 丢进Exeinfo PE里面,得到64bit,无壳 丢进IDA pro(x64)里面,找到主函数 代码中有一个花指令:*(unsigned int (__fastcall **)(char *))judge)(input) unsigned int (__fastcall **)(char * 阅读全文
摘要:
题目: IDA反编译 主函数 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char s2[144]; // [rsp+0h] [rbp-1A0h] BYREF 4 char s1[128]; // 阅读全文