CPY是笨橘猫,笨橘猫是CPY
2020年腾讯游戏安全大赛PC端初赛0x1 RING3 扫雷先用PE查exe的text段偏移地址,然后加0x1da dump出内存 然后用开头特征码去dump文件里再dump出来 0x2 脚本对比 对比一下改了什么 可以发现原本是一个
2022-04-07 Blue
Driver Ergodic Driver Ergodic
win10x64 内核驱动对象遍历和EPROCESS结构体遍历0x1 驱动对象遍历 #include <ntddk.h> typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY
2022-04-05 Blue
win10x64Kernel win10x64Kernel
win10x64内核中断门提权0x0 SMEP SMAP首先来说一下改变,win10新增了SMEP和SMAP SMEP:禁止内核执行用户空间的代码(3环代码) SMAP:禁止内核CPU访问用户空间 所以就算提权到0环也是无法运行读取的,所以
2022-04-03 Blue
x64 IA-32e x64 IA-32e
win10 x64内核 IA-32e 笔记0x0 前言21年11月份学习了32位的内核,但是准备腾讯比赛发现,是给的64位驱动,所以学习64位。 0x1 x86到x64的改变IA-32e 模式:内核64位,用户64或32位 ​
2022-04-02 Blue
toplay toplay
HUFUCTF-REVER-toplay0x1 分析java层 点击一片区域10次触发 一个网页,进去就是2048游戏 发现经过了base混淆 http://www.dejs.vip/encry_decry/obfuscator.ht
2022-03-28 Blue
shell_code shell_code
HUFUCTF2022-REVER-shellcode0x0 前言承接上文的tmd脱壳,所以直接来到ida分析环节 0x1 IDA分析 要求输入352位 会对每一位进行一个逻辑左移3位 可以看出来是一个xtea加密,密钥和defult都
2022-03-28 Blue
Themida / Winlicense3.0 Themida / Winlicense3.0
Themida-Winlicense3-0 脱壳 修复IAT表0x1 查壳 发现是Themida-Winlicense3-0以上的壳 0x2过反调试 动调发现有反调试 打开sharpOD64 的 Protect Drx 即可过反调试 成
2022-03-24 Blue
pojiemiyao pojiemiyao
BUUCTF-REVER-[DDCTF2018]破解密钥0x1分析java层 发现CTFLib.vaildata 来进行判断 进入之后发现check代码在so层 0x2 分析so层代码 找到关键加密位置 非常简单 只需要动调获得V
2022-03-23 Blue
CrackMe3 CrackMe3
BUUCTF-REVER-CrackMe30x1 查看信息 32位 要求输入正确的注册码 0x2 来咯来咯动调分析 因为输入了点击按钮,没有任何反馈,报错,弹窗都没有。所以获取输入下断 断下,观看堆栈第一个地址发现是用户领空,说明断对了
2022-03-23 Blue
CrackMe4 CrackMe4
BUUCTF-REVER-CrackMe40x1 查壳 32位 题目要求是输入正确的注册码 0x2 动调调试 运行起来 进入程序基地址,发现特征为易语言编写的程序(易语言,芜湖起飞,破解的最爱) 直接搜索易语言字符串比较特征码 这时候注
2022-03-23 Blue
4 / 5