NgIokWeng's Blog

Anya Gacha分析打開文件夾，發現是Unity遊戲 先打開遊戲看看是在干什麼 大概是一個抽卡遊戲，左上是金錢( 每次-10 )，按左下按鈕開始抽取 逆Unity遊戲通常可直接找到它的Assembly-CSharp.dll文件( 在\AnyaGacha_Data\Managed目錄下 )，將其拉入dnspy進行分析( 32位 ) 在開始時對一些數據進行了初始化，這裡其中一個數據用了隨機數 找到按下【抽卡】按鈕所調用的函數 這裡首先判斷【金錢】是否>10，若是才能繼續 後面再對一些數據進行處理，然後調用this.Upload() 進入this.Upload()，看到它是通過發送網路請求來驗證 但我看不懂要怎樣才能走到this.succeed(text)，而上面有提到一開始使用了隨機數來初始化數據，因此我猜測這可能與真的抽卡遊戲一樣，是概率問題 所以我的破解思路：不斷調用this.Upload()，直到成功為至 暴力破解在dnspy中，右鍵→Edit Method，修改wish函數 123456789public void wish() { ...

題目：https://buuoj.cn/challenges#[FlareOn2]YUSoMeta 查殼使用ExeinfoPe查殼，發現是.net程序加了混淆，嘗試使用提示的.NET Generic unpacker的工具去除混淆，發現不行 拉入DIE，發現其所使用的混淆名為Smart Assembly，可使用de4dot工具來去除 使用de4dot去除混淆 下載地址：https://github.com/de4dot/de4dot 打開de4dot.netframework.sln，按如下設置，然後按生成 進入\Release\net45，可以看到de4dot.exe 使用指令de4dot.exe -d [path]來查看用了哪種混淆，確定了果真是SmartAssembly 使用指令de4dot.exe [path] -p sa來去除SmartAssembly混淆，反混淆後的檔案放在了原exe的目錄 選項說明-p sa：指定混淆類型，sa代表SmartAssembly 代碼分析 將反混淆後的程序拉入dnSpy進行分析 找到如下的關鍵地方，發現只要test == ...

OllyDbg Plugin SDK( 修改版 )： sdkupdat.zip 設置步驟 添加資源 將上方SDK中的plugin.h和ollydbgvc7.lib拉到當前項目中 標頭檔→右鍵→加入→現有項目→選擇plugin.h 將ollydbgvc7.lib從VS2019中直接拖入，目錄大概長這樣： VS2019設置 先創建一個Dll項目，然後把dllmain刪去 屬性→進階→字元集→多位元組 屬性→C/C++→所有選項→其他選項：/J ( 意思就是默認所有char都是unsigned char ) 屬性→C/C++→先行編譯的標頭檔→未使用 調試相關為了方便調試，可將OD拖入當前項目中 設置Dll生成路徑：屬性→連結器→一般→輸出檔案→[OD插件目錄的路徑\]+dllName.dll ( 例如：C:\Users\MSI-PC\Desktop\A\逆向\MyFirstOdPluginSolution\MyFirstOdPlugin\Ollydbg\plugin\MyFirstDll.dll ) 設置Dll調試：屬性→偵錯→命令：C:\Users\MSI-PC\Deskto ...

程序分析 程序後綴是.com，但不管直接拉入ExeinfoPe查殼 發現原來是64位的ELF文件，沒殼 拉入IDA分析，進入main函數，看到如下關鍵信息 經分析發現if語句應該為永真，即一定會進入( 可動態調試看看 ) 在進入最後一個if之前，調用了sub_55C1E23CB2D8這個函數，雙擊進入查看 發現當sub_55C1E23CABA0返回0時，程序就直接退出 所以為sub_55C1E23CABA0必須返回1 注：xor_key4、key等等的變量是我分析後重新命名而得來的 進入sub_55C1E23CABA0查看，結合函數傳入的參數，可以得知 123input[0] = xor_key4 ^ 0xFFFFFFFF9A1391B5input[1] = xor_key4 ^ 0xFFFFFFFF9A1391A3#... 動調獲取數據 現在只要動調獲取xor_key1、xor_key2、xor_key3、xor_key4、key5的值即可求得flag 簡單說一下方法：執行到xor_key4的下一句，將鼠標移到xor_key4的上方，看到的0xFFFFFF ...

靜態分析習慣先查一下殼，沒殼 拉入IDA分析，發現主要代碼在sub_401008，其中調用了sub_401121，進入查看 發現是個socket，buf用來接收客戶端傳送過來的信息。返回sub_401008繼續分析 紅框這裡取buf[0]對0x40107C處的代碼進行自解密，長度是121，可以發現0x40107C處的代碼正是綠框那部分，緊接著綠框後就是提示成功的信息。 這時可以嘗試開始解密，流程如下： 編寫腳本暴力破解buf[0]的值 動調代碼，查看綠框自解密後的代碼 腳本編寫提取數據 先獲取0x40107C到0x40107C+121的數據 方法：在IDA中按G跳到0x40107C，選中0x40107C到0x40107C+121的數據，按shift+e 腳本代碼1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768#include <iostream>#in ...

解壓後有個C1.exe，但這並不是我們要分析的程序，雙擊C1.exe後安裝的那個Challenge1.exe才是要分析的程序。將其拉入ExeinfoPe，發現是個C#程序打開Challenge1.exe，發現只有一個Decode按鈕可按，按了之後彈出不明的東西將程序拉入C#反編譯神器dnSpy繼續分析，找到Decode按鈕對應的代碼可以看出它對某數據進行了3次加密，然後展示出來，抱著好奇之心，在第一次加密完的位置打個斷點，查看其數據看上去有點像flag，嘗試提交，結果成功了( 逆向果然是七分逆、三分猜 ^.^ )

第1測試單元1.单选题 (1分)題目： 中国共产党的最高理想和最终目标是()A、实现共产主义B、实现共产主义社会制度C、实现中国特色社会主义宏伟目标D、推进共产主义社会制度 A 2.单选题 (1分)題目： 全面从严治党以()建设为统领A、思想B、作风C、政治D、制度 C 3.单选题 (1分)題目： 中国人民从长期奋斗历程中得到的最基本、最重要的结论是()A、没有共产党,就没有新中国B、没有毛泽东,就没有新民主主义革命C、必须把马克思主义基本原理同中国实际相结合D、任何时候都必须坚持实事求是的思想路线 A 4.单选题 (1分)題目： 党的思想路线是(),在实践中检验和发展真理。A、一切从实际出发,解放思想,实事求是B、一切从实际出发,实事求是,与时俱进C、一切从实际出发,理论联系实际,实事求是D、一切从实际出发,理论联系实际,与时俱进 C 5.单选题 (1分)題目： 党的根本组织原则是()。A、少数服从多数制B、民主集中制C、集体领导与个人分工负责制D、密切联系群众 B 6.单选题 (1分)題目： 党在任何时候都把(),同群众同甘共苦,保持最密切的 ...

查殼慣例查一下，發現沒有殼 代碼分析拉入IDA，進入main函數，看到是字符串的對比，而a2[1]是用戶輸入的字符串。通常會先將用戶輸入的字符串進行加密後，再作對比，所以先尋找加密函數找到後，可以看出它是將用戶輸入的字符串每8個分成一組，然後與qword_201060[j]( j = 0~4 )相減 腳本解密分析完之後就可編寫腳本進行解密。注：字符串以小端模式存放在內存中，例如字符串ABC在內存中的存放順序為43 42 41，41對應A、42對應B、43對應C 123456789101112131415161718192021222324#include <iostream>using namespace std;int main() { long long qword_201060[5] = { 0,0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B,0 }; int i; // [rsp+18h] [rbp-8h] int v4; // [rsp+18h] [rbp-8h] ...

題目：點我下載 花指令分析紅框中的兩條代碼使程序經過時必然會跳到loc_401034的下一行，所以由此可知loc_401034處是一條無用的花指令 去除花指令使用IDA的Keypatch插件將loc_401034處patch為nop 錯誤做法像下圖一樣選取多行(雖然左邊地址都相同)進行patch會出現問題 正確做法只選一行或直接對著loc_401034，然後按Ctrl+Alt+K(Keypatch快捷鍵) 之後在.text:00401085會看到與上面一模一樣的情況，以同樣手法去除花指令即可。 然後選取需要的區域，按p重新生成函數，即可F5查看偽代碼 並可直接在偽代碼中得出flag為Kap0k{junkC0de_1s_w0derfuuuul!}

題目：https://buuoj.cn/challenges#[HDCTF2019]Maze 查殼和脫殼先查殼，發現有殼，根據提示用upx脫殼 代碼逆向分析花指令 脫殼後拉入IDA分析，發現.text:0040102C是一處無用的花指令，因為它的作用是跳到下一行(毫無意義，可以直接nop掉)。 而.text:0040102E處call指令後而跟住的0EC85D78Bh不是一個地址(因為對其雙擊之後沒有反應)，由此也可得知這段代碼受到了花指令的影響(部分代碼還有用處，不能直接nop掉) 去除花指令 使用Keypatch插件，直接將.text:0040102C處patch為nop 因為.text:0040102E處的部分代碼還有用處，不能直接nop掉，所以要先找出其中無用的部分。方法：在.text:0040102E處按U，將其重定義為一個一個的字節，之後就嘗試將第1個字節0E8hpatch為nop( 若能重新生成為代碼就是成功。不能的話，就還原，然後將之後的每個字節都嘗試一遍 )，如下圖2所示即為成功 最後選取所有紅色的部分，然後按P重新生成為函數，之後就可F5查看偽代碼 ...