随笔分类 - 逆向
逆向相关笔记
摘要:环境准备 安装mumu模拟器 pip安装frida,这里到最后一步setup需要很长时间。 在frida github下载对应服务端。 apk下载:https://adworld.xctf.org.cn/media/task/attachments/2554cf208cfb4cdf9218a840f
阅读全文
摘要:crackme常见的形式是输入注册码,序列号。对常用破解方法进行总计 破解思路 1、密码相邻性,在输入假码后,在内存窗口段跟踪假码,通常在假码上下左右,临近位置发现真码。 2、利用消息断点,如mfc编写的程序,在点击按钮之后获得程序断点WM_LBUTTONUP。 3、利用提示信息,进行字符串查找。
阅读全文
摘要:感谢xctf提供学习平台 https://adworld.xctf.org.cn crackme有壳,脱壳部分见文章: https://www.cnblogs.com/hongren/p/12633232.html 查看字符串: 跟踪来到right,推测为成功时的标志。 来到这里,往上翻能看到核心代
阅读全文
摘要:首先进行查壳,NsPack 将程序拖入x64dbg 程序入口处标志性的push F8单步,发现仅有esp寄存器有变化 在esp上右键,在内存窗口查看,下硬件断点 F9运行程序,程序断在pop之后。 使用F7单步两次后来到程序入口,oep 使用自带的scylla脱壳 填入正确的OEP,自动查找IAT并
阅读全文
摘要:1. INT3断点常用的F2下断点为该断点,这种下断方式会改变机器码为0xCC,当程序执行到此时停止。但是这种方法会被检测,如在某API下断,程序在执行该API前有检测代码,检测是否为0xCC,如果检测到则直接退出。在API的前几行下断可以进行绕过 2. 硬件断点常见于ESP脱壳定律,ESP脱壳定律
阅读全文
摘要:感谢BUUCTF提供的学习平台 https://buuoj.cn 题目:不一样的flag 工具:x64dbg 这是一道内存的迷宫题,迷宫是402000处的字符串 根据经验,这应该(a行*b列)的字符,想快速解题,需要知道是几行几列。 行的确定: 列的确定: shl汇编指令的含义为eax*2n,先将e
阅读全文
浙公网安备 33010602011771号