Category: ddctf

ddctf2019 obfuscating macros write up

环境配置 系统 : Windows 10 \ Linux kali 4.6.0-kali1-amd64 程序 : obfuscating_macros.out 要求 : 输入口令 使用工具 :ida 开始分析 静态分析 使用ida载入程序,使用WELL DONE!字符串定位到关键代码: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char v3; // al char v4; // al bool v5; // al __int64 v6; // rax char v8; // [rsp+0h] [rbp-40h] unsigned __int64 v9; // […]

ddctf2019 Confused write up

环境配置 系统 : Windows 10 程序 : confused.app.zip 要求 : 输入口令 使用工具 :ida 开始分析 搜集信息 在linux中使用file命令查看信息: ➜ playground file xia0Crackme xia0Crackme: Mach-O 64-bit x86_64 executable 可知是苹果的64位可执行程序。 静态分析 在ida中载入程序,根据字符串DDCTF{定位到关键代码: void __cdecl -[ViewController checkCode:](ViewController *self, SEL a2, id a3) { void *v3; // rax void *v4; // rax void *v5; // ST18_8 void *v6; // rax char […]

ddctf2019 Windows Reverse2 write up

环境配置 系统 : Windows xp 程序 : reverse2_final.exe 要求 : 输入口令 使用工具 :ida \ Ollydbg52pojie \ peid 开始分析 查壳 使用peid查看文件信息: ASPack 2.12 -> Alexey Solodovnikov 使用了aspack壳。 dump内存 直接使用od加载文件并运行起来,看到窗口有如下输出: input code: 这里,od中选择插件->OllyDump->脱壳在当前调试的进程,在弹出的窗口中选择脱壳,然后选择保存的文件名和位置就可以。 静态分析 ida中,根据字符串定位关键函数如下: int sub_401320() { char v1; // [esp+8h] [ebp-C04h] char v2; // [esp+9h] [ebp-C03h] char my_str; // [esp+408h] [ebp-804h] char v4; // [esp+409h] […]

ddctf2019 Windows Reverse1 write up

环境配置 系统 : Windows xp 程序 : reverse1_final 要求 : 输入口令 使用工具 :ida \ od \ UPX_3.91 \ peid 开始分析 脱壳 将程序直接拖入peid,显示: 什么都没找到 * 但EP段处数据是UPX1,所以可以质疑程序加了upx保护壳,使用upx工具简单脱壳: C:\UPX_3.91_XiaZaiBa\upx391w>upx -d reverse1_final.exe Ultimate Packer for eXecutables Copyright (C) 1996 – 2013 UPX 3.91w Markus Oberhumer, Laszlo Molnar & John Reiser Sep 30th 2013 File size Ratio Format Name ——————– […]