阿威在潜水

摘要： nesting 通过函数分析 ，有一个VM的指令解析器，也看不懂，VM的题看起来特别费劲 在sub_16BC里面找cmp的flag比对指令，0x1E21和0x1EC9。最终发现输入正确的字符和错误的字符，0x1E21处的指令执行次数不一样，可以通过输入fo,fl，fi,其中fl是正确的字符，发现正确 阅读全文

摘要： URL从哪里来 main函数断点下载这里 然后可以看到TempFileName,是out.exe.tmp，还包含路径，直接提取出来用IDA打开，一开始被url误导了，看到了下面的RC4加密去了，使用findcryt软件，看到一个base64加密， 交叉引用 在这 动态调试这个函数 里面的a1,有一串 阅读全文

摘要： 看雪ctf AliCrackme_2 使用jadx打开， 去IDA打开so,搜索check可以搜索到说明是静态注册的，看着就是一个简单的校验，但是填进去错误，看到题目的提示是有反调试，但用frida附加时没有反调试的，应该是针对IDA的反调试，网上查找了下，发现了几种反调试的方法 反调试方法 1.I 阅读全文

摘要： 2023 羊城杯 vm_wo详解 这是一道Vm的题，第一次做这种题总结下， VM框架 大概就是VM框架中会模拟正常的CPU去读指令 然后执行指令。 然后会有1个全局变量 然后会有一个dispatcher的程序 模拟CPU读取指令，然后去执行函数，就可以做到和真实的程序一样 writeUP 这道题的整 阅读全文

摘要： 做题过程 比赛的时候只解出username,看了官方的wp，赛后总结下 首先用jadx打开，没有加壳 关键的就这几个地方，可以看到校验的函数是native函数，使用IDA打开so 导出函数只有JNI_onload,应该是动态注册的函数，使用frida hook 下注册的地址，之前学VMP壳的时候正好 阅读全文

摘要： 解题过程 IDA打开，函数很多，而且全是sub_ 没有符号，查看下字符串，看到了/flag /check,还有很多oatpp3的字符串，查了下，这是个C++的web库和名字很符合，先编译一份，参考 [] https://blog.csdn.net/qq_44519484/article/detail 阅读全文

摘要： # 解题过程 打开软件是加壳的，使用010打开，可以看到是魔改的upx,将关键词改成UPX ，然后脱壳成功，使用IDA打开，可以看到是没有符号的，分析起来比较难顶，使用go_parser还原符号后打开main_main, 先运行一下查看有没有什么提示 ![image-2023080714210134 阅读全文

摘要： 初步探索 首先在百度找到了许多种方法，包括重置都无法打开 最后通过google 查询到了解决办法，对于问题的起因我们首先需要了解一个概念ump应用 ump应用 UWP 是微软在 Windows 10 中引入的新概念，由于所有 UWP 应用均运行在被称为 App Container 的虚拟沙箱环境中， 阅读全文