win10 x64内核 IA-32e 笔记0x0 前言21年11月份学习了32位的内核，但是准备腾讯比赛发现，是给的64位驱动，所以学习64位。 0x1 x86到x64的改变IA-32e 模式：内核64位，用户64或32位 ​

HUFUCTF-REVER-toplay0x1 分析java层 点击一片区域10次触发 一个网页，进去就是2048游戏 发现经过了base混淆 http://www.dejs.vip/encry_decry/obfuscator.ht

HUFUCTF2022-REVER-shellcode0x0 前言承接上文的tmd脱壳，所以直接来到ida分析环节 0x1 IDA分析 要求输入352位 会对每一位进行一个逻辑左移3位 可以看出来是一个xtea加密，密钥和defult都

Themida-Winlicense3-0 脱壳 修复IAT表0x1 查壳 发现是Themida-Winlicense3-0以上的壳 0x2过反调试 动调发现有反调试 打开sharpOD64 的 Protect Drx 即可过反调试 成

BUUCTF-REVER-[DDCTF2018]破解密钥0x1分析java层 发现CTFLib.vaildata 来进行判断 进入之后发现check代码在so层 0x2 分析so层代码 找到关键加密位置 非常简单 只需要动调获得V

BUUCTF-REVER-CrackMe30x1 查看信息 32位 要求输入正确的注册码 0x2 来咯来咯动调分析 因为输入了点击按钮，没有任何反馈，报错，弹窗都没有。所以获取输入下断 断下，观看堆栈第一个地址发现是用户领空，说明断对了

BUUCTF-REVER-CrackMe40x1 查壳 32位 题目要求是输入正确的注册码 0x2 动调调试 运行起来 进入程序基地址，发现特征为易语言编写的程序(易语言，芜湖起飞，破解的最爱) 直接搜索易语言字符串比较特征码 这时候注

SUSCTF-REVER-tttree0X1准备步骤 把文件拉进CFF Explorer_CN 取消 DLL can move 这样程序每次加载，不会改变基址 方便下断 0x2动调分析 搜索关键字符串跳转下断 然后一路F8就完事，一

D3CTF-REVER-DMARM0x1 观察文件 bin文件拉入ida 把前面几个数据 按d转换为ddouble形式 第一个为ram基址 第二个为rom代码开始的地址 0x2 分析文件 拉进ida32位 选择小端 arm 选择A

D3CTF-REVER-D3MUG 0x1 下载工具Il2CppDumper(https://github.com/Perfare/Il2CppDumper) FridaContainer(https://github.com/deathm