Welcome

to humb1e's blog

vm_wo

羊城杯——vm_wo 应该是比较简单的vm题型,由于本人太菜了,没做 分析他的逻辑,其实是单字节加密,对于这样的题目其实爆破是一种很好的方法。 赛后看了星盟的wp发现他们也是用单字节爆破的方式来解的,其实对于这样的爆破题可以结合一下z3来使用。 本题是单字节加密其实用不用z3没多大差别,但是如果以后有前一个字节会对之后的字节产生影响,每个位置上独立是可能存在多解的情况下z3可能是一个不错的......

一个病毒实例的类SMC技术

一个病毒实例的类SMC技术 很早以前就了解过smc技术,这次在通过学习《恶意代码分析实战》这本书去了解Windows病毒的时候也在章节实验中发现了类似于SMC技术的痕迹,这里通过详细介绍所采用的系统调用来展开恶意代码被调用的过程。 本来了解Windows病毒的一个出发点就是多了解一些Windows API所以有些地方可能解释的会比较繁琐。 实验程序Lab03-03 main函数 GetMo......

fuzz_in_reverse?

angr 今天突然有了一个interesting的想法: then void: 遂决定有时间了解一下angr ...

encrypto

2023上海赛初赛encrypto 挺抽象的,五道逆向,两道0解 另外两题都被干到50分了,还有这题400分左右的 ida打开一看是rust写的elf 反正rust一贯那么丑 先看一眼这个,有很多库的调用,摆明了这是rust,然后乱点几个进去能看到time之类的系统调用 还有这种对60,3600操作的很明显和时间挂钩的 后面有起poll的,有点离谱 还有给直接写明sha256字符串的......

serial-150

serial-150 一题经典的花指令题,但是与之前遇到简单的仅仅插入0xE8影响ida分析的指令不同 这里的花指令拥有更长的字节数,重复多次出现,并且和正常的call等指令混在一起 这时候手动修就会很麻烦,需要一个自动patch花指令的脚本 题目:SUCTF-serial-150 一用ida打开就发现一片飘红,并且有大量字节未被ida反汇编 这里非常明显的有call了一个不存在的地址 于......

vm_逆向

VM逆向 从上个学期就意识到自己不会vm逆向有很大一部分原因是汇编不会,寒假学了汇编,学的不好,汇编还是不会,总想着留到暑假用大把的时间再去学习和总结。 然后突然意识到这样逃避永远也学不会自己害怕的东西。 于是就开始摁看了。 从最简单的虚拟机开始。 mainly from [原创]对VM逆向的分析(CTF)(比较经典的一个虚拟机逆向题目)-CTF对抗-看雪-安全社区|安全招聘|kanxue.......

D3CTF_d3hell

D^3CTF_d3hell 一道exe结合dll的题目 首先需要分析dll,进去一顿乱点发现了一个tea加密 还有在text段的一堆乱码 于是就猜测有smc加密的,但tcl后来才知道有天堂之门 但是这里和一般的天堂之门不一样,是从64位转到32位的天堂之门 这里的retf就是比较显著的天堂之门的特征,所以之后的代码就是32位的 需要dump出去用ida32打开查看 因为菜鸡不会写idapy......

D3CTF_d3rc4

D^3CTF d3rc4 不得不说每次vidar的比赛都能学到很多知识点… 先ida打开 就是一个非常平平无奇的rc4 写一个脚本跑一下才会发现这是什么东西 看了wp才知道,原来还有这种操作 在进入main()函数之前运行了这样一个程序 这里分别异或了三个数组 跑过之后发现其中两个是wrong和right作为最后程序是否正确的输出(这个判断暂时还找不到) 这里估计是出题人故意不想让我们......

pipe

pipe mainly from pipe() 系统调用 - GeeksforGeeks 从概念上讲,管道是两个进程之间的连接,使得一个进程的标准输出成为另一个进程的标准输入。在 UNIX 操作系统中,管道对于相关进程之间的通信(进程间通信)很有用。 管道只是单向通信,即我们可以使用管道,使得一个进程写入管道,另一个进程从管道读取。它打开一个管道,这是被视为**“虚拟文件”**的主内存区......

LD_PRELOAD

LD_PRELOAD Linux操作系统的动态链接库在加载过程中,动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload,并将读取到的动态链接库文件进行预加载。即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被加载,因为它们的优先级比LD_LIBRARY_PATH环境变量......