DDCTF2019 笔者做了前俩道题。冷不丁过去一个月了、现在在此做一下WriteUp:题目链接: 1:题目1 2:题目2 reverse1:writeup: 1、程序打开后如下所示 2、查壳结果为UPX的壳。 3、UPXSHELL脱壳之后用GHIDRA打开后如下 这就程序大致的流程。我们的关键点在 ...
分类:
其他好文 时间:
2019-05-08 21:55:00
阅读次数:
153
这次参加比赛总共出了三道,有两道队友都先交了,还是tcl,heap_master卡了差不多一天没解决。。。。还是记录一下出的题目吧 quicksort 题目大体流程就是输入要输入的数字数量,然后输入数字,经过一个快速排序输出,然后结束。 漏洞: gets函数这里存在栈溢出,可以覆盖i,j,ptr,n ...
分类:
系统相关 时间:
2019-04-29 12:15:28
阅读次数:
225
工具下载:https://github.com/home-hwt/android/tree/master/decode_apkgenymotion模拟器下载http://www.genymotion.net/FDex2通过HookClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),在将里面的dex写出dex2jar将d
分类:
移动开发 时间:
2019-04-18 14:52:35
阅读次数:
347
这里的中国菜刀不是指切菜做饭的工具,而是中国安全圈内使用非常广泛的一款Webshell管理工具,想买菜刀请出门左拐东门菜市场王铁匠处。中国菜刀用途十分广泛,支持多种语言,小巧实用,据说是一位中国军人退伍之后的作品。日前,国外安全公司Fireeye对这款工具进行了详细的剖析,可以说是一部非常nice的 ...
分类:
Web程序 时间:
2019-02-27 16:15:13
阅读次数:
280
de4dot是一个开源的.net反混淆脱壳工具,是用C#编写的,介绍一下它的使用方法 首先 pushd 到de4dot.exe所在文件夹,然后调用 de4dot.exe 路径+dll名称 如下图 Detected Unknown Obfuscator 说明侦测不到这个程序集是用什么方式混淆的,但是d ...
分类:
Web程序 时间:
2019-01-20 16:26:59
阅读次数:
509
盗号的文件一般都是无壳的,这样的知识可以从调试,debug程序等地方学习到。遇到加壳的程序,找点脱壳的程序都可以搞定。 拿到样本文件,直接记事本打开,搜索一下 smtp http等通信协议名词就可以定位。往往后面跟的就是骗子的接收服务器,或者邮箱地址。 在线查毒网站有:http://www.virs ...
分类:
其他好文 时间:
2019-01-18 00:50:49
阅读次数:
254
flag 这是一道逆向题 一、题目: 二、检查: 1、flie flag:发现是EIF可执行文件 2、xxd或vim查看文件内容: 发现经过了UPX加壳 3、upx脱壳: upx -d flag 三、ida查看: 四、总结: ida工具不会使用 五、参考: https://www.cnblogs.c ...
分类:
其他好文 时间:
2019-01-11 21:16:00
阅读次数:
193
exec族的组成: 在Linux中,并不存在一个exec()的函数形式,exec指的是一组函数,一共有6个,分别是: #include <unistd.h> extern char **environ; int execl(const char *path, const char *arg, ... ...
分类:
系统相关 时间:
2018-12-05 21:00:44
阅读次数:
191
注:以下4篇博文中,部分图片引用自DexHunter作者zyqqyz在slide.pptx中的图片,版本归原作者所有; 0x01 背景介绍 安卓 APP 的保护一般分为下列几个方面: JAVA/C代码混淆 dex文件加壳 .so文件加壳 反动态调试技术 其中混淆和加壳是为了防止对应用的静态分析;代码 ...
分类:
移动开发 时间:
2018-11-03 19:10:41
阅读次数:
230
前言: 输入表又称导入地址表(Import Address Table),简称 IAT API 函数被程序调用但执行代码又不在程序中,而是位于一个或者多个 DLL 中 当 PE 文件被装入内存的时候,Windows 装载器才将 DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连 ...
分类:
其他好文 时间:
2018-11-03 01:53:01
阅读次数:
209
