Welcome

to humb1e's blog

vm_wo

羊城杯——vm_wo 应该是比较简单的vm题型，由于本人太菜了，没做分析他的逻辑，其实是单字节加密，对于这样的题目其实爆破是一种很好的方法。赛后看了星盟的wp发现他们也是用单字节爆破的方式来解的，其实对于这样的爆破题可以结合一下z3来使用。本题是单字节加密其实用不用z3没多大差别，但是如果以后有前一个字节会对之后的字节产生影响，每个位置上独立是可能存在多解的情况下z3可能是一个不错的......

Posted by Humb1e on 2023-09-04

一个病毒实例的类SMC技术

一个病毒实例的类SMC技术很早以前就了解过smc技术，这次在通过学习《恶意代码分析实战》这本书去了解Windows病毒的时候也在章节实验中发现了类似于SMC技术的痕迹，这里通过详细介绍所采用的系统调用来展开恶意代码被调用的过程。本来了解Windows病毒的一个出发点就是多了解一些Windows API所以有些地方可能解释的会比较繁琐。实验程序Lab03-03 main函数 GetMo......

Posted by Humb1e on 2023-07-09

fuzz_in_reverse?

angr 今天突然有了一个interesting的想法： then void: 遂决定有时间了解一下angr ...

Posted by Humb1e on 2023-05-31

encrypto

2023上海赛初赛encrypto 挺抽象的，五道逆向，两道0解另外两题都被干到50分了，还有这题400分左右的 ida打开一看是rust写的elf 反正rust一贯那么丑先看一眼这个，有很多库的调用，摆明了这是rust，然后乱点几个进去能看到time之类的系统调用还有这种对60,3600操作的很明显和时间挂钩的后面有起poll的，有点离谱还有给直接写明sha256字符串的......

Posted by Humb1e on 2023-05-29

serial-150

serial-150 一题经典的花指令题，但是与之前遇到简单的仅仅插入0xE8影响ida分析的指令不同这里的花指令拥有更长的字节数，重复多次出现，并且和正常的call等指令混在一起这时候手动修就会很麻烦，需要一个自动patch花指令的脚本题目:SUCTF-serial-150 一用ida打开就发现一片飘红，并且有大量字节未被ida反汇编这里非常明显的有call了一个不存在的地址于......

Posted by Humb1e on 2023-05-25

vm_逆向

VM逆向从上个学期就意识到自己不会vm逆向有很大一部分原因是汇编不会，寒假学了汇编，学的不好，汇编还是不会，总想着留到暑假用大把的时间再去学习和总结。然后突然意识到这样逃避永远也学不会自己害怕的东西。于是就开始摁看了。从最简单的虚拟机开始。 mainly from [原创]对VM逆向的分析(CTF)(比较经典的一个虚拟机逆向题目)-CTF对抗-看雪-安全社区|安全招聘|kanxue.......

Posted by Humb1e on 2023-05-16

D3CTF_d3hell

D^3CTF_d3hell 一道exe结合dll的题目首先需要分析dll,进去一顿乱点发现了一个tea加密还有在text段的一堆乱码于是就猜测有smc加密的，但tcl后来才知道有天堂之门但是这里和一般的天堂之门不一样，是从64位转到32位的天堂之门这里的retf就是比较显著的天堂之门的特征，所以之后的代码就是32位的需要dump出去用ida32打开查看因为菜鸡不会写idapy......

Posted by Humb1e on 2023-05-09

D3CTF_d3rc4

D^3CTF d3rc4 不得不说每次vidar的比赛都能学到很多知识点… 先ida打开就是一个非常平平无奇的rc4 写一个脚本跑一下才会发现这是什么东西看了wp才知道，原来还有这种操作在进入main()函数之前运行了这样一个程序这里分别异或了三个数组跑过之后发现其中两个是wrong和right作为最后程序是否正确的输出（这个判断暂时还找不到）这里估计是出题人故意不想让我们......

Posted by Humb1e on 2023-05-08

pipe

pipe mainly from pipe（）系统调用 - GeeksforGeeks 从概念上讲，管道是两个进程之间的连接，使得一个进程的标准输出成为另一个进程的标准输入。在 UNIX 操作系统中，管道对于相关进程之间的通信（进程间通信）很有用。管道只是单向通信，即我们可以使用管道，使得一个进程写入管道，另一个进程从管道读取。它打开一个管道，这是被视为**“虚拟文件”**的主内存区......

Posted by Humb1e on 2023-05-06

LD_PRELOAD

LD_PRELOAD Linux操作系统的动态链接库在加载过程中，动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload，并将读取到的动态链接库文件进行预加载。即使程序不依赖这些动态链接库，LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被加载，因为它们的优先级比LD_LIBRARY_PATH环境变量......

Posted by Humb1e on 2023-04-22