The Blog of WoaW04

0x00 分析两个反调+魔改TEA 总体流程不难 0x01 解无壳，直接拖IDA 发现main里面有个经典的检测调试器的函数IsDebuggerPresent Tab查看汇编 这边patch直接将判断条件改为IsDebuggerPresent < 2即可 即将cmp eax, 1改为cmp eax, 2即可 之后再看看其他 发现调用了两次chrono::system_clock::now()这里使用的是一种反调试，具体原理可以看这个：RDTSC时钟检测反调试 也就是说在这两个之间如果做了中断行为，则if的结果就会不同，可以在这里下断点进行测试，尝试在call _ZNSt6chrono3_V212system_clock3nowEv之前下断点和不下断点观察结果 这边就不测试了（懒） 总之正常的结果应该走右边，即不使用mov rax, 22002200220022h所在的这块 这边改jle为jmp就行 之后apply patch就可以愉快调试了 patch之后断在try again上面的判断，一般来说这里存的就是密文了 执行两次，输入两个不同的值，发现v8的值都不变， ...

0x00 分析此题比较综合，涉及到了TLS回调函数反调试、SEH异常处理、花指令 总的来说很是有意思 0x01 解无壳，上IDA直接爆红 反调肯定有的，应该还有异常处理 tab看一下，发现有try...except...结构 这就涉及到“异常”这个东西了 关于异常可以看这个：windows-SEH详解 关于SEH在IDA中的表现可以看这个：C++异常处理 这个处理的方法还算简单，就是将整个try包裹的结构nop掉之后改掉jcc的跳转位置，使其强制跳转就行 不过在此之前，先看看TLSCallback函数吧 关于TLS回调函数：TLS回调函数的学习 TLS回调函数是指，每当创建/终止线程时会自动调用执行的函数（创建进程的主线程时也会自动调用回调函数，且回调函数的执行顺序是先于EP代码的执行，所以TLS回调函数的这个特性通常被用于反调试技术）由于是创建和终止线程时都会调用，所以在程序从打开到结束这个TLS回调函数会被执行两次。 在本题中，这个TlsCallback函数是反调试之一 整个流程大概是这样的： 检测是否有调试器的存在，如果有则exit，否则执行一个异常，然后交由 ...

0x00 分析给了三个文件，一个程序，两个.enc结尾的，应该是加密了 后面要爆破时间戳 主打一个写代码 0x01 解无壳，直接上IDA main函数直接给出，一步步分析 接收输入然后根据输入的命令执行不同操作 具体操作可以查看printHelp函数 12345678910111213"Usage: FinalEncrypt [OPTIONS]...\n""Encrypts/Decrypts files using FinalEncrypt\n""\n"" -h Prints help screen\n"" -e [filename] Encrypts a specified file (must be passed with -r)\n"" -d [filename] Decrypts a specified file (must be passed with -k)\n" ...

0x00 分析ROP技术： ROP的全称为Return-oriented programming（返回导向编程），这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御（比如内存不可执行和代码签名等）。通过上一篇文章栈溢出漏洞原理详解与利用，我们可以发现栈溢出的控制点是ret处，那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值，从而控制程序的执行流程。 这题有SMC那味了 程序流动调看 0x01 解进入main函数，发现只有一个vuln函数 跟进去可以发现调用了一个read函数 看不太懂，直接断在call read处后向下走 之后调用retn会发现执行到了这个地方 之后不停执行pop和retn，目的将栈中的数据放入寄存器中 之后到了这个函数 关于mmap可以看这个：linux库函数mmap()原理及用法详解 之后继续执行会到mprotect函数 关于mprotect可以看这个：Linux中mprotect()函数的用法 这两个连在一起用：通过mmap&mprotect来绕过nx 继续执行会回到一次read函数 ...

0x00 题目分析父进程开启一个子进程并接收子进程的异常信息，根据这些信息来执行程序流 由于这个开启的子进程是它本身，所以子进程的代码实际上是可以在程序中找到的（不过加了密，需要dump下来解密先） 但实际上没有必要去看子进程的解密结果，只要直接调父进程就可以就可以得到程序的执行流程了 0x01 解无壳，直接拖IDA 符号加载还算比较完全，基本可以看懂在干什么，这个A10就是主函数 因为opcode不能直接获取，所以这题动调才能搞清楚流程 注意限制了输入长度 之后单步调试可以发现到了这个地方 关于ReadProcessMemory可以看微软的文档 查看ProcessInformation可以发现这个ReadProcessMemory的目标就是与题目同名的一个程序 之后根据lpBaseAddress可以找到opcode的位置，大小是0xD6 解密只是一个简单的异或，可以写个脚本解析一下 123456789with open("./opcode_enc",'rb') as f: opcode = bytearray(f.read()) ...

0x00 前置来点GoCipher：https://pkg.go.dev/crypto/cipher 再来点Go的XXTEA：https://github.com/xxtea/xxtea-go/blob/master/xxtea/xxtea.go 0x01 解go语言和rust一样，静态是真看不明白 所以只能调试 然而这题里面有反调 根据调试时出现的字符串可以去搜索然后找到反调的地方 将jz改为jmp就可以过掉了 之后调试需要使用F4（运行至光标处），否则会跳到很多奇怪的地方 由于对go的反编译并不给力，因此大多时候还是以汇编为主 首先来到看上去像是真正执行的地方，可以看到有一个读文件的操作 在文件路径处下断点，往下跟 可以遇到第一个看起来像是加密的函数 进入这个main_tlFyZv，反编译后往下翻翻可以看到一个异或 在汇编看，可以发现基本没有别的操作了，合理怀疑这个函数就是一个异或 查看一下值，发现ptr内是一个表，这个表应该就是异或用的表了 先将其dump下来，然后写个脚本加密一下原flag，看看是否异或成功 12345678xortable = b"D7 ...

0x00 题目分析Rust，安全性极佳 静态代码基本没法看，只能动调了 0x01 解直接搜字符串，可以看到一段base64的字串： 跟进去解一下 可以看出来cryforhelp应该就是密文了 但是从哪里下手呢？毕竟Rust反编译是这样的 动调吧（ 通过动调，一步步看我们的输入被进行了什么操作就行了 那么首先需要知道哪个函数是输入的 这个通过在输入时暂停然后往回跟就能找到这个位置了（此处改了一下名方便后面定位） 之后可以在下面找到输入被存储的地方 看一下整个循环 可以发现其将输入存入v27，如果输入为空的话则补69（ASCII == ‘E’），之后有一个函数，里面长这样 过于离谱，直接出去看v197 可以发现进行的操作比较简单，将一个八字节的字符串两两分组，之后分别-1,+0,+1,+2 然后v197做异或，输出到v23 之后在v23处下硬件断点，可以发现断在了这里 都看看会发现v93就是v23的内容，而v98是一个异或表，这一步是将上一步的结果与v98所存的异或表内的值进行异或 之后再跟v95 可以发现断在了这里，这是一个赋值，v101是上面v ...

0x00 题目分析比较可惜这题没在规定时间内做出来，被劫持摆了一道 0x01 解无壳，直接上IDA main函数相对比较简单，不难看懂，重点应该就是图中的sub_7A121C 跟进去可以发现是XXTEA算法，key就是byte_7AB048=[0x44, 0x41, 0x53, 0x21] 而sub_7AB000里面就是32字节长的东西 取一下enc 123456789101112131415161718import structdef read_int_array(file_name): with open(file_name, 'rb') as f: data = f.read() return struct.unpack('<'+'i' * (len(data) // 4), data)a = read_int_array('./enc.txt')enc = []for i in range(8): enc.append(a[i])for i in ...

0x00 题目分析跳跳虎，主要是要找到程序的执行路径，然后转换成能看的东西 0x01 解无壳，直接上IDA 超多if，上面还有超多while，实际上就是进行判断，如果条件满足，那么就不break，而是执行下面的程序 没什么技术含量，主要是一个个跳着看，IDA选中条件之后就会黄色高亮，一个个看就好了 这个main_crypto里面也是和main函数一样的跳 为了保护大脑不从头顶跳出去，我选择直接解释一下这个main_crypto 这玩意的重点在于标注出来的enc 它将进行一些位运算，然后将结果存入temp中，这个temp是一个密码表 将input数组中的值作为索引在密码表中找对应的值然后放回input内 相当于一个映射 加密过程我转为python了，可能比较好看一点（只是方便理解，不能运行的） 1234567len1 = 32i = 0input = []for i in range(256): enc = ~(len1 ^ i)for i in range(len1): input[i] = enc[input[i]] 解密就是逆运算，在main函数最下面可以找到这 ...

0x00 题目分析没啥好说的，就是VM，不过这个VM用的不是汇编，而是加减乘除，相当于整了个计算器出来 0x01 解无壳，两个附件，一个二进制的data和一个dll 直接上IDA 分成了两部分，一个是key，一个是flag 不过看得出来就算key输错了也是能继续输flag的 先看看key 由main函数可以知道，key有16位，而且全是数字（48<ASCII<57），然后两两一组丢进v11里面去了，sub_1400011E5里面有个scanf，应该是用于格式转换的 比较重要的就是sub_1400012D5了，返回值给了v9然后用v9进行判断 一直进去可以看到很经典的vm格式 直接写解释器吧 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001 ...