其实之前也手脱过一些壳,但一直没仔细研究过。。。 #以下方法参考《加密与解密第四版》,程序可在随书文件里找到 EXE 一,寻找OEP 1,根据跨段指令寻找 入口处 在401130处要用ctrl+A重新分析代码 其实这种方法只要f8不跑飞,一直f8就行 2,内存访问断点寻找 通过在.text段下内存访 ...
分类:
其他好文 时间:
2020-06-07 21:13:48
阅读次数:
59
pwnable.kr之flag 这是一道逆向题,upx一键脱壳。 程序开始用IDA打开,发现带壳了。 这个不用慌,埋伏它一手,下载个upx,cmd进去,目录下打开。 命令:upx -d flag 脱完壳,再用IDA打开,看到的是这样的。 有个flag,进到地址看看它有啥。 没写全?不要怕。winhe ...
分类:
其他好文 时间:
2020-05-19 22:19:30
阅读次数:
54
一、Bang 拿到手是一个APK文件,打开看一下: 题目描述简单加壳,于是想到用frida脱壳脚本: 得到dex文件并用jeb打开: 可以看到直接得到了flag 二、Signal vm题: 太长了,写个脚本模拟一下流程:(这里贴上最后的脚本,验证内容直接写了flag,为了验证正确性) #includ ...
分类:
其他好文 时间:
2020-05-15 11:31:21
阅读次数:
99
ylbtech-五谷:小米 小米(Setaria italica var. germanica (Mill.) Schred. ),又称为粟,北方称谷子,谷子脱壳为小米,其粒小,直径1 mm左右。小米是世界上最古老的栽培农作物之一,起源于中国黄河流域,是中国古代的主要粮食作物。粟生长耐旱,品种繁多, ...
分类:
移动开发 时间:
2020-04-22 13:15:17
阅读次数:
1048
[toc] 模拟追踪脱壳法 一丶模拟追踪 1.1 模拟追踪简介 模拟追踪 重点是模拟两字, 含义就是程序代替人手工的 F7(步进) 或者 F8(步过) 回想我们手工脱壳的时候,最笨的方法就是遇到 Call跳过(F8) 如果跑飞就遇到 Call F7 但是往往最笨的方法就是最好用的方法. 原理也说过. ...
分类:
其他好文 时间:
2020-04-12 07:51:27
阅读次数:
84
感谢xctf提供学习平台 https://adworld.xctf.org.cn crackme有壳,脱壳部分见文章: https://www.cnblogs.com/hongren/p/12633232.html 查看字符串: 跟踪来到right,推测为成功时的标志。 来到这里,往上翻能看到核心代 ...
分类:
其他好文 时间:
2020-04-04 20:42:27
阅读次数:
116
1. INT3断点常用的F2下断点为该断点,这种下断方式会改变机器码为0xCC,当程序执行到此时停止。但是这种方法会被检测,如在某API下断,程序在执行该API前有检测代码,检测是否为0xCC,如果检测到则直接退出。在API的前几行下断可以进行绕过 2. 硬件断点常见于ESP脱壳定律,ESP脱壳定律 ...
分类:
其他好文 时间:
2020-04-04 19:04:27
阅读次数:
100
先检查是否加壳了,查看过后发现有upx壳,脱壳,win32子系统 然后打开main函数一看 然后一看这都是些什么。。去查了CreateMUtexW函数,没看懂,跳过。。 看到CreateThread,中文意思就是创建线程,所以推测这是多线程运行 点第一个里的函数看看 经过了一个函数,并且计数器在减少 ...
分类:
其他好文 时间:
2020-03-12 12:47:09
阅读次数:
85
测试文件:https://www.lanzous.com/i9la55a 准备 获取信息: 32位文件 UPX壳 IDA分析 UPX脱壳后,IDA打开 int sub_804887C() { int v0; // eax int result; // eax int v2; // ecx unsig ...
分类:
Web程序 时间:
2020-02-23 00:07:26
阅读次数:
381
查壳 UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo upx这类压缩壳手动脱壳非常简单。 一、查找oep 二、dump、修复IAT 一、查找oep way1: 首先在程序入口发现pushad指令,接下来可以直接查找指令 ...
分类:
其他好文 时间:
2020-01-26 23:57:08
阅读次数:
175
