WP-南邮CTF逆向第六题 WxyVM2
生活随笔
收集整理的这篇文章主要介绍了
WP-南邮CTF逆向第六题 WxyVM2
小编觉得挺不错的,现在分享给大家,帮大家做个参考.
WP-南邮CTF逆向第六题 WxyVM2
这个地方有个红色的部分 ,意思是块内容太大,无法显示, 这里我们先不用管,过会查看伪代码之后就知道什么意思了,,,
小编已经给整理出了解决方法:
修改配置文件IDA 7.0\cfg\hexrays.cfg
找到
MAX_FUNCSIZE = 64 // Functions over 64K are not decompiled
修改为
MAX_FUNCSIZE = 1024 // Functions over 64K are not decompiled
4. 等加载出伪代码之后,观察伪代码,发现用户在694100这个地址处输入数据,如果输入的字符不是25个的话,v4 = 0,由此推测flag是25个字符组成
5. 接下来是一长串代码,我们先不管他,因为既然这个代码这么长,说明它是有规律的,或者说绝大部分是没有用的
6. 直接来到main函数的末尾部分
观察末尾,694100是用户输入的地方,而694060存放的是程序本来的数据,,
由此推测,上面那一长串代码很可能是对用户输入的数据进行修改或者对694060处的数据进行修改,然后观察长串代码,发现很大部分并没有对694060处的数据和用户输入的数据进行修改,而有仅有一小部分对用户输入的数据进行修改,即对604100-604118范围内的数据进行修改。
7 . 因为程序最后是对694100-694118和694060-6940C3(因为694060存放是DWORD类型的),所以只要不是对这个范围的数据进行修改的代码都是没有用的。
8 . 我们观察一下中间那一串超长的代码,我们的目的是将有用的代码和没用的代码区分开,观察其汇编语言(因为这个时候看伪代码是看不出什么东西了)
观察其汇编代码,发现只要是对694100-694118处的东西进行修改的代码都是以movezx开头的,并且大部分是三个指令一起的,个别的是2个指令一起,如上图的第一个黑框中的代码,
movzx eax, cs:byte_694114
mov cs:byte_694114, al
仔细观察这2条指令的话,其实也是没有用的,但是为了便于筛选有用的汇编指令,我们按将其默认为有用(因为它也是movezx开头的),然后最后的时候我们再将其删掉即可
9 . 我们开始写脚本进行筛选
FindCode和GetDisasm这两个函数可以说是这个题解题的关键中的关键,这些IDC脚本在《IDA pro权威指南》中有详解,大家可以参考一下
打印指令后都是这样的
10 我们将这些指令复制到Notepad++中,方便我们将这些改写为IDC脚本
利用Notepad++的替换功能,我们将sub改为add,add改为sub等等 利用replace进行了一系列操作
最终得到了脚本
11 .因为这个是对694100处的数据进行逆向的,所以我们先写一个IDC脚本将694060处的对应的数据复制到694100处
12.最后我们运行我们刚才改好的脚本进行最终的逆向
得到最终的flag
总结
以上是生活随笔为你收集整理的WP-南邮CTF逆向第六题 WxyVM2的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: Android开源绘画板(普通绘画模式和
- 下一篇: Go CAS操作