IDA pro 7.0版本 from:freebuf 用到的工具有IDA pro 7.0  ,被反汇编的是百度云(BaiduNetdisk_5.6.1.2.exe). 首先,IDA pro的长相如下: 共有(File , Edit , Jump , Search , View , Debugger , Options , Windows , Help)9个模块,还有下面的诸多小菜单. 现在我们点击File,选择Open打开一个文件,这里我们选择百度云盘PC端安装程序,出现如下图示: 这里我们直接…

http://www.freebuf.com/sectool/104045.html Panopticon 使用GPLv3授权许可,其免费. 项目文档:https://panopticon.re. 问题追踪:https://github.com/das-labor/panopticon/issues.…

 (很久以前的学习记录,放到博客上来)   (IDA5.0版的不知道为何反汇编进去每一行被截断的景象,惨不忍睹......明明是个正版的.只好回来用拷过来的破解版,依然有一些叽里呱啦的问题,懒得管了,勉强能用.) 之前的一个拷贝自身到C盘下,并删除自身的exe文件(Reverse 01 中的),拖到IDA里反汇编: .text:00401000 ; int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR…

全局变量 测试代码 全局变量既可以是某对象函数创建,也可以是在本程序任何地方创建.全局变量是可以被本程序所有对象或函数引用.下面这段代码中将int.float.char变量定义在main函数之外. // 变量.cpp : 定义控制台应用程序的入口点. // #include "stdafx.h" //全局变量 // 整型 int a_nNum = 22; // 浮点型 float fNum = 2.5; // 字符型 char ch = 'A'; int main() { // 整型…

VS2015版本release查找main函数入口 vc++开发的程序main或WinMain函数是语法规定的用户入口,而不是应用程序入口.入口代码是mainCRTstartup.wmainCRTStartup.WinMainCRTSartup或wWinMainCRTStarup,具体情况由编译器制定. VS2015版本debug查找main函数在<VS程序反汇编找main函数>.release版本找main函数入口有所区别的地方在于一开始就单步步过一个call指令,jmp跳转.然后经过三个p…

问:用IDA静态分析,函数结尾出现 endp ; sp-analysis failed 用F5调不出伪代码,不知道是什么原因,请问有什么解决办法没有? 答:endp ; sp-analysis failed. 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误.比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed. 我还遇到过一种情况,是因为编译器优化,结果IDA无法正确识别…

俗话说,工欲善其事,必先利其器,在二进制安全的学习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着学习的精神,参考着<IDA pro权威指南>(第二版),写下这篇文章,记录自己的学习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在<IDA pro权威指南>的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++f…

obdg是一个反汇编软件 直接将要反汇编的exe文件拖入或者file->open打开文件,等待一段时间就会显示出来 界面中分别为汇编代码(程序内存内容),寄存器内容,数据内存内容,栈内容 代码界面的左侧是内存地址,右侧是代码的描述 步骤一:修改程序使注册一直成功 在分析程序反汇编代码之前: 在该程序中,打开注册页面,随意输入信息并点击注册会弹出对话框: 查看反汇编代码: 可以通过查看反编译之后的文字信息来确定部分代码的作用 这两段应该是分别对应成功注册和未成功注册的弹窗内容 可以看到,在push…

使用IDA pro逆向ARM M系核心的Bin固件 ​ 物联网和智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题.要不然是根本拿不到固件,要不然是拿到了Bin之后看不懂,这篇文章带大家手把手调教IDA pro,让他逆向无符号的Bin文件. 一.意义 ​ 先说一下逆向固件的意义把,一般来说,这种小东西都会和外界有交互,蓝牙,WIFI,网络,4G,zigbee等等,我们逆向出他的协议就可以发现其中的安…

今天,IDA 已经三十岁了.为了纪念周年纪念,我们将描述史诗旅程的开始和主要里程碑. 背景 在 1990 年代初期,DOS 是最流行的 PC 操作系统,主要是 8086,偶尔有 80286(80386 仍然非常昂贵).典型的 PC 最多只有 1MB 的内存,留给密集任务的空间很小.然而,软件开发行业发展迅速,需要调试和诊断工具.除了调试器,反汇编器大多是基于批处理的(非交互式).最受欢迎(也最昂贵)的是Sourcer通过 V 通信.它的交互性有限,因为它接受一个"定义文件",其中包含开…

推荐序 本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间.在文章的最后,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程. 本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star 和提 Issue.感谢作者授权发表. 作者介绍:杨君,中山大学计算机系研究生,iOS 开发者,擅长领域…

Syscan360会议胸牌破解揭秘 背景 有幸参加今年11月份的上海Syscan360安全会议,会议期间有一个亮点就是360的独角兽团队设计了一款电子badge(胸牌)供参加人员进行破解尝试,类似于美国Defcon上面的那种解密puzzle的比赛,在参会现场的人都可以参加这种破解,总共9道题,规则是现场会给每道题谜面,在这块胸牌上面输入正确的谜底才能进入下一题,解题需要开脑洞,有好些人参与破解,而且有好些人都解出来了,今天笔者从这块胸牌的硬件和软件层面去揭密这个胸牌的一些有意思的功能和如何在不需…

PE 中漫步—“白眉” 指令追踪技术与 Paimei 程序异常发生的位置通常离漏洞函数很远,当溢出发生时,栈帧往往也会遭到破坏,给动态调试制造很大的困难. 指令追踪最大限度地结合了动态分析和静态分析的做点,能够迅速定位漏洞.其工作流程如下: 1 将目标 PE 文件反汇编,按照指令块记录下来(通常用跳转指令来划分) 2 用调试器加载 PE 文件,或者 Attach 到目标进程上,并对程序进行一定操作 3 指令追踪工具会在最初记录的静态指令快中标注当前操作所执行过的指令,用户在阅读反汇编代码的同时也…

(原书)所有内核空间共享,DriverEntery是内核程序入口,在内核程序被加载时,这个函数被调用,加载入的进程为system进程,xp下它的pid是4.内核程序的编写有一定的规则: 不能调用windows运用层API函数 很多C标准函数失去意义,如printf,fopen,fwrite等,它们有专门的内核函数 很多单纯的C标准,如string.h(不涉及I/O及网络等)等还是适用 可以使用标准C语言,但是用浮点数之前要特殊处理 WDK提供大量System Routine以供调用,相当于运用层…

目录 1.前言 2.原理讲解 3.代码实现 前言 这节的反调试是通过构造代码来干扰正常的分析.反调试参考CrypMic勒索病毒 原理讲解 在逆向分析汇编代码时,一般都是通过汇编指令call或jmp跳到一个函数内进行执行,这次的反调试就是利用特殊构造代码实现指定跳转 在汇编中call address可以分解为两条指令:push eip+6,jmp address.这里的push eip+6是保存call指令的下一个指令地址作为返回地址,一般eip+6就是指向call指令的下一条指令,jmp add…

接着上一篇,现在明确问题:在汇编克隆搜索文献中,有四种类型的克隆[15][16][17]:Type1.literally identical(字面相同):Type2.syntactically equivalent(语法等价):Type3.slightly modified(稍作修改):Type4.semantically similar(语义相似).文章主要关注类型4克隆,虽然汇编代码有可能在语法上不同,但是在源代码层次函数的功能逻辑是相同的.例如,有混淆和没有混淆的相同代码,或者不同版本的之…

场景 应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件.PE修复后在IDA里反汇编查看这个恶意代码的功能是什么. 解决 LordPE 虚拟内存对齐修复 [Section Table] 每个区段的 VirtualAddress与RawOffset对齐 VirtualSize与RawSize对齐 [Basic PE Header Information] 修复exe加载基地址和dump的内存地址 相关示例 LoadPE载入dump后的程序…

本教程所用Android Studio测试项目已上传:https://github.com/PrettyUp/SecTest 一.混淆 对于很多人而言是因为java才接触到“混淆”这个词,由于在前移动互联网时代在java程序中“混淆”也只是针对java代码,所以混淆基本就和对java源代码进行混淆等价. 但说到混淆的本质,不过就是将变量名.函数名由有助于开发维护人员理解其用途的名称(如my_name,get_key)改用a,b,c,d这种简短无意义的词去替换.从这个思路出发,资源其实也是可以混淆…

因为是第一次破解较大型的商业软件,所以有必要记录一下,另外UE的价格也实在太贵了... 第零步:准备 准备好破解常用软件.我常用的工具有IDA(用于静态分析).Ollydbg(动态调试).PEiD(用于查看可执行文件是否加壳).W32Dasm(在一个网上教学视频中看到的软件,用于静态搜索软件中的字符串资源).CheatEngine(多用于游戏作弊,这里用来动态搜索进程中的字符串). 先对Uedit32.exe这个可执行文件进行初探,PEiD发现它没有加壳,这也不出意料,这种软件肯定是不屑于加壳的…

http://bbs.pediy.com/thread-218798.htm     前言 之前介绍了普通常见的反编译模式 但对于使用了 360加固 棒棒 爱加密 等等的加固应用就没办法了. 你会发现反编译出来的dex 只有几个类 逻辑都是调用so   真正的dex会被加载到内存中隐藏起来 加固应用都是多dex这种形式 要想拿到他真正的dex 需要进行脱壳处理  基本原理都是从内存中dump 我一般会先用工具来尝试 不行的话就得上 IDA(反汇编神器)超级强的一个工 具 杀手级别 贯穿移动端 P…

原题:http://www.shiyanbar.com/ctf/28 下载一个压缩包,里面有个CrackMe1.exe,查看了下,没有壳. 直接拖到ida去反汇编 一进来就是在main里面,直接F5看看 可以看到在if ( sub_401060((const char *)&v4) )这里做了判断 跟进 sub_401060函数看看 这里得知输入的每个字符会跟20H做异或运算 在40708C的地址存在一处字符串,会提取该地址的字符串做-5的运算,然后跟输入的字符串异或运算后的结果对比 如此一来,…

原文地址:https://gitlab.com/Manouchehri/Matryoshka-Stage-2/blob/master/stage2.md 实验用代码下载地址:https://gitlab.com/Manouchehri/Matryoshka-Stage-2/blob/master/stage2.md 下面是我自己的实验进程: 2017-05-09 16:18:09 1. linux 64位提权并执行stage2.bin文件 可以看到,输入错误的密码时,会提示Try again..…

上周才开始做这个CTF,用一周左右的时间完成了全部7道题.算是为即将到来的找工作进行热身和学习,下面记录一下遇到的问题和学到的东西,具体的解题过程就不详细描述了. challenge1 这道题用IDA打开发现是一个.net程序,于是用.NET Reflector反编译定位 button的处理函数,就可以定位解码函数了. challenge2 通过邮件里的描述(We saw what looked like attacker activity to this site)猜测页面里面被嵌入了恶意代码…

免考final linux提权与渗透入门--Exploit-Exercise Nebula学习与实践 0x0 前言 Exploit-Exercise是一系列学习linux下渗透的虚拟环境,官网是https://exploit-exercises.com/,通过它可以学习提权,漏洞利用,逆向等知识 我们这里尝试的是Nebula,是一个涵盖初级.中级挑战任务的练习环境,一个有20个关卡.涉及到的知识点有: SUID文件(SUID files) 权限(Permission) 竞态条件(Race con…

ADCTF  WRITEUP 方向:Reverse  解题数:2 题目:Reverse_01 解题过程: 用ida打开反汇编查看代码,看main函数发现 关键部分,字符串比较,竟然是直接比较”is_this_po?”相等,然后连续输入这字符串(因为之前的逻辑)最后得到flag 题目:baby_crack 解题过程: 看到题目下载exe文件,用OD反汇编,在关键字断点,看到 觉得有些奇怪,应该是哪个验证码,输入后可得还真的是 方向:MISC   解题数:5 题目:文件名 解题过程: 先分析图片文件…

要像系统注册一个全局热键,需要用到RegisterHotKey,函数用法如下(MSDN):BOOL RegisterHotKey(                                                HWND hWnd,                                          int id,                                          UINT fsModifiers,                   …

CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看. 32位的文件,用ida打开,F5查看伪代码. printf漏洞:https://www.cnblogs.com/cfans1993/articles/5619134.html 思路: 找到pwnme的地址 把pwnme的地址写到s里面 printf输出8个字节,然后用%n把8写入…

测试文件:https://adworld.xctf.org.cn/media/task/attachments/c6cf449ae4b7498eba5027c533386a40.exe 1.准备 获取信息: 32位文件 2.IDA打开 反汇编main函数 void sub_401100() { signed int v0; // esi signed int v1; // esi unsigned int v2; // edi void **v3; // ebx void **v4; // ea…

(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write.但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85&…

昨天打完的MAR DASCTF,来复个盘~ 不过就re做了3/4然后有事提前开溜了hhh,拿了drinkSomeTea和replace的三血心满意足(蜜汁三血执念. 感觉这回的出题人好喜欢TEA啊(正好最近在整理加解密算法),就是TEA和XTEA都出了却不带XXTEA玩有点可惜/doge. 扫雷也复盘完了!好耶! Reverse drinkSomeTea 是一个逻辑超级明显但是超--坑的题. 鉴于这是复盘,那就直击要害吧,懒得把当时兜兜转转的心路历程复述一遍了>^<. 逻辑很简单,就是将./t…