【CTF】一道簡單的花指令
題目:點我下載
花指令分析紅框中的兩條代碼使程序經過時必然會跳到loc_401034的下一行,所以由此可知loc_401034處是一條無用的花指令
去除花指令使用IDA的Keypatch插件將loc_401034處patch為nop
錯誤做法像下圖一樣選取多行(雖然左邊地址都相同)進行patch會出現問題
正確做法只選一行或直接對著loc_401034,然後按Ctrl+Alt+K(Keypatch快捷鍵)
之後在.text:00401085會看到與上面一模一樣的情況,以同樣手法去除花指令即可。
然後選取需要的區域,按p重新生成函數,即可F5查看偽代碼
並可直接在偽代碼中得出flag為Kap0k{junkC0de_1s_w0derfuuuul!}
【HDCTF2019】Maze WriteUp
題目:https://buuoj.cn/challenges#[HDCTF2019]Maze
查殼和脫殼先查殼,發現有殼,根據提示用upx脫殼
代碼逆向分析花指令
脫殼後拉入IDA分析,發現.text:0040102C是一處無用的花指令,因為它的作用是跳到下一行(毫無意義,可以直接nop掉)。
而.text:0040102E處call指令後而跟住的0EC85D78Bh不是一個地址(因為對其雙擊之後沒有反應),由此也可得知這段代碼受到了花指令的影響(部分代碼還有用處,不能直接nop掉)
去除花指令
使用Keypatch插件,直接將.text:0040102C處patch為nop
因為.text:0040102E處的部分代碼還有用處,不能直接nop掉,所以要先找出其中無用的部分。方法:在.text:0040102E處按U,將其重定義為一個一個的字節,之後就嘗試將第1個字節0E8hpatch為nop( 若能重新生成為代碼就是成功。不能的話,就還原,然後將之後的每個字節都嘗試一遍 ),如下圖2所示即為成功
最後選取所有紅色的部分,然後按P重新生成為函數,之後就可F5查看偽代碼
...
ACTF新生赛2020-usualCrypt WriteUp
題目:https://buuoj.cn/challenges#[ACTF%E6%96%B0%E7%94%9F%E8%B5%9B2020]usualCrypt
下載、解壓後,文件夾內有兩個檔案,直接把名為base.exe的那個拉入IDA進行分析( 另一個檔案不知有何作用 )。進入main函數查看偽代碼,經分析推測整體代碼邏輯為接收輸入->加密->與特定字串對比->判斷正確與否,進入加密函數sub_401080繼續分析發現是base64加密,但在前面有個可疑的函數sub_401000,抱著好奇之心,先點進去看看可以看出是將base64的索引表進行了魔改,BASE64_table_40E0A0為原索引表的起始地址,byte_40E0AA則是在起始地址+10byte的位置,而索引表進行的改動也就是簡單的位置亙換返回sub_401080繼續分析,看到最後return時竟然是一個函數,點入去查看第一眼看到簡直不知道是三小,但在分析過後,看到下圖紅框中的關鍵特徵,推測是將字母的大小寫亙換最後,編寫如下腳本進行解密
12345678910111213141516171819202 ...