ToB企服应用市场:ToB评测及商务社交产业平台

标题: 一道关于逆向的实战CTF题目分析 [打印本页]
作者: 悠扬随风    时间: 2024-7-12 21:22
标题: 一道关于逆向的实战CTF题目分析
前言

本题自带call型花指令,磨练选手对花指令的理解程度。加密属于基础的异或和左右移位加密。主要考察选手的基础能力,动态调试和写脚本的能力。在这篇文章,详细记载了我的分析过程,相信你会有很大收获。
1、查壳

[img=720,468.13027744270204]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411324.png[/img]

PE64位,没壳步伐
2、IDA分析去花指令

使用IDA打开时,发现一片红,很正常的CTF考点:花指令
sub_main

[img=720,329.4418604651163]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411326.png[/img]

当务之急是如何去除花指令,继续向下分析,发现了一些端倪
[img=720,336.99680511182106]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411327.png[/img]

花指令的形成是干扰编译器的分析,但又不会影响步伐的正常运行。
那么显而易见,会将某个寄存器进行push(生存)然后对其进行复杂操纵,最终pop(恢复)该寄存器的值,步伐正常执行。
而在本步伐中,可以发现该手法:
  1. push ebx
  2. .....
  3. pop ebx
复制代码
中心的过程均无需再看,直接NOP操纵。
[img=720,338.46153846153845]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411328.png[/img]

nop完记得生存修改。
[img=720,251.3576415826222]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411329.png[/img]

接下来就可以分析main函数啦

而这两个函数恰好均为关键的函数。
【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
sub_401040

[img=720,387.6038338658147]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411331.png[/img]

此时,我们可以看到函数开头的位置存在多个push操纵,不要急着nop。对照函数结束的部分,避免误杀友军。
[img=720,417.131931166348]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411332.png[/img]

可以看到pop和push是相互对应的,开头push,结束就要pop。
此时注意到:push、pop不是要nop的点,我们继续分析
[img=720,330.9251101321586]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411333.png[/img]

熟悉混淆的朋友一定可以辨认出这是一个call型混淆。
call一个地址,然后修改堆栈返回值,retn跳过混淆,相对之前的混淆需要对堆栈有一定的理解。
辨认出来,进行nop即可
[img=720,331.672131147541]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407121411334.png[/img]

得到加密函数
  1. int __cdecl sub_401040(char a1, int a2)
  2. {
  3.  return ((a2 ^ a1) << 8) - a2;
  4. }
复制代码
到此,恭喜你学会了分析一道CTF题目最根本的步调。
更多网安技能的在线实操训练,请点击这里>>
  

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4