0x000 打开环境 下载文件到本地,查看文件格式为64位的ELF,xxd命令是将文件转化为16进制的格式查看,发现文件内容有个明显的upx,upx是一种加壳压缩的程序,所以先把该文件脱壳,使用upx -d命令脱壳至flag_upx。 0x001 源码分析 细心一点就会发现,有一个注释“#0x6c2 ...
分类:
其他好文 时间:
2019-10-03 16:00:33
阅读次数:
68
测试文件:https://adworld.xctf.org.cn/media/task/attachments/088c3bd10de44fa988a3601dc5585da8.exe 1.准备 获取信息 1.脱壳 1.1 OD打开(esp定律法) Word或者DWord都可以 点击确认就行。 这样 ...
分类:
其他好文 时间:
2019-09-10 20:51:47
阅读次数:
146
路由器固件分析题,首先要安装firmware-mod-kit 安装命令: 使用: 用binwalk -e 分离出squashfs文件 使用firmware-mod-kit: 找到后门程序,提出来,发现有upx壳,脱壳后拖入ida,看字符串 找到网址,再看程序 找到端口 得到flag ...
分类:
其他好文 时间:
2019-09-10 01:01:31
阅读次数:
124
公司内部分享,安卓 APP 反编译、脱壳、爬虫,这篇都有了! ...
分类:
移动开发 时间:
2019-09-06 01:31:42
阅读次数:
137
[.NET] ConfuserEx脱壳工具打包 ConfuserEx 1.0.0脱壳步骤 Written by 今夕何夕[W.B.L.E. TeAm]1.先用UnconfuserEx把主程序Dump出来;2.使用CodeCracker大牛的ConfuserExStringDecryptor将加密的字 ...
分类:
Web程序 时间:
2019-08-22 18:33:17
阅读次数:
226
IAT在内存中和在文件中的特征? IAT在内存中是一个函数地址数组,在文件是是一个RVA数组 重定位的原理是什么? 重定位地址的计算: addr = 映像基地址+VA+OffSet 重定位地址处的数据: [addr] – 原基地址 + 现基地址 [addr] + (现基地址–原基地址) 重定位在内存 ...
分类:
其他好文 时间:
2019-07-31 22:25:26
阅读次数:
133
1 查看信息 使用ExeInfoPe查看此壳程序 可以看出是很老的FSG壳。 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了。 在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行。所以用 ...
分类:
其他好文 时间:
2019-07-31 15:01:45
阅读次数:
145
首先下载附件之后,查壳 虽然什么也没有发现,但是看一下区段就知道,这个是北斗的壳。所以我们首先载入od开始把壳脱掉 这里面也可以看到pushfd和pushad是北斗壳的特征 这里面我使用是esp定律脱壳,当然也可以使用f8单步,或者镜像法,这里要说一下北斗的壳可以直接下断点at Getversion ...
分类:
其他好文 时间:
2019-07-23 17:12:19
阅读次数:
89
拿到文件,先运行一下,输出: 用python查看文件是否有什么保护, 发现文件加了壳(Packed with UPX),所以使用 upx flag -d 进行脱壳,根据题目提示知道要二进制分析,所以把脱壳后的文件用IDA打开 双击上图红色箭头指的 flag 再双击箭头指向的灰色文字 拿到flag ...
分类:
其他好文 时间:
2019-07-14 14:45:22
阅读次数:
93
近些年来,移动APP数量呈现爆炸式的增长,黑产也从原来的PC端转移到了移动端,伴随而来的逆向攻击手段也越来越高明。在解决加固产品容易被脱壳的方案中,代码混淆技术是对抗逆向攻击最有效的方式之一。但目前的移动端加固技术真能抵御黑客的攻击吗? 本报告将分享阿里巴巴集团安全部应用加固能力养成记,重点介绍An ...
分类:
移动开发 时间:
2019-06-10 18:45:50
阅读次数:
162
